Netcrook Logo
👤 KERNELWATCHER
🗓️ 19 Jan 2026  

كارثة رفع الملفات: ثغرة في Livewire Filemanager تترك مواقع Laravel مكشوفة على مصراعيها

ثغرة كُشف عنها حديثًا في Livewire Filemanager تتيح للقراصنة الاستيلاء على تطبيقات Laravel على الويب دون تسجيل الدخول مطلقًا.

إنه السيناريو الذي يرعب كل مسؤول مواقع: متسلّل غير مرئي، بلا حاجة إلى كلمات مرور، يهرّب راكبًا رقميًا خفيًا إلى خادمك. هذه هي الحقيقة القاسية التي تواجه آلاف المواقع المبنية على Laravel بعد الكشف عن خلل مدمّر في مكوّن Livewire Filemanager الشهير. وبينما يهرع المدافعون لإصلاح الوضع ويلتزم المورّد الصمت، يبدأ سباق محموم لسدّ الثغرة قبل أن يقتحمها مجرمو الإنترنت.

تشريح انهيار تطبيق ويب

تحوّل Livewire Filemanager، المصمّم لتبسيط رفع الملفات وتخزينها لتطبيقات Laravel، إلى شريك غير مقصود للمهاجمين. الجاني؟ سهوٌ حرج في طريقة فحصه للملفات أثناء الرفع. إذ إن المكوّن لا يتحقق بدقة من أنواع الملفات وبيانات MIME، ما يتيح للقراصنة تهريب سكربتات PHP خبيثة متنكرة في هيئة ملفات رفع بريئة.

الهجوم بسيط على نحو مقلق. بعد رفع الحمولة، يستغل المهاجم أمر Laravel القياسي artisan storage:link، الذي يعرّض الملفات المرفوعة عبر رابط عام. ومن خلال صياغة طلب موجّه - أحيانًا لا يتطلب أكثر من معرّف مستخدم والملف الدخيل - يدفع خادم الويب إلى تنفيذ شفرته. وفجأة يمتلك المهاجم الصلاحيات نفسها التي يمتلكها خادم الويب: القراءة والكتابة والحذف، بل وحتى تثبيت أبواب خلفية وإطلاق هجمات إضافية عبر الأنظمة المتصلة.

ما يجعل CVE-2025-14894 خطيرة إلى هذا الحد هو غياب الحواجز. لا تسجيل دخول، ولا أذونات خاصة - فقط نقطة نهاية ضعيفة واتصال بالشبكة. وفي الأيدي الخطأ، يفتح ذلك الباب أمام سرقة البيانات، ونشر برمجيات الفدية، وتحويل الخوادم المخترقة إلى منصات إطلاق لحملات أوسع. وقد أطلق مركز تنسيق CERT إنذارًا، لكن حتى الآن لم يرد المورّد وراء Livewire Filemanager علنًا ولم يصدر إصلاحًا.

يدعو خبراء الأمن الآن المؤسسات إلى تولّي زمام الأمور بأنفسهم. وهذا يعني التحقق فورًا مما إذا كان قد تم استخدام أمر artisan storage:link، وتعطيل وصول الويب العام إلى أدلة التخزين، وتطبيق ضوابط صارمة للتحقق من الملفات على مستوى التطبيق. كما يُوصى بشدة باستخدام جدران حماية تطبيقات الويب ومراقبة أدلة الرفع بيقظة بحثًا عن ملفات PHP مشبوهة. وفي الحالات عالية المخاطر، قد يكون تعطيل رفع الملفات بالكامل أو إضافة مصادقة إضافية حول إدارة الملفات هو الفارق بين نجاةٍ قريبة واختراقٍ كارثي.

نظرة إلى الأمام: رقعة أم خطر؟

مع عدم وجود إصلاح رسمي في الأفق، ومع ترصّد المهاجمين دائمًا للفرص السهلة، لا تستطيع المؤسسات تحمل التراخي. إن فوضى Livewire Filemanager تذكير قاسٍ: حتى المكوّنات الموثوقة قد تتحول إلى عبء أمني بين ليلة وضحاها. وحتى وصول الرقعة، تبقى اليقظة - وقسطٌ صحي من الارتياب - أفضل دفاعات ضد استيلاء صامت.

WIKICROOK

  • تنفيذ تعليمات برمجية عن بُعد (RCE): تنفيذ التعليمات البرمجية عن بُعد (RCE) هو عندما يشغّل المهاجم شفرته الخاصة على نظام الضحية، وغالبًا ما يؤدي ذلك إلى السيطرة الكاملة على ذلك النظام أو اختراقه.
  • التحقق من MIME: يتحقق فحص MIME مما إذا كان نوع الملف يطابق المتوقع، ويمنع الرفع الخبيث عبر التحقق من محتوى الملف ونوع MIME المُعلن.
  • Laravel: Laravel إطار عمل PHP مفتوح المصدر يبسّط تطوير تطبيقات الويب عبر أدوات مدمجة وميزات أمان وبنية MVC منظمة.
  • الصدفة العكسية: الصدفة العكسية هي عندما يتصل جهاز مخترق سرًا بالمهاجم، مانحًا إياه تحكمًا عن بُعد ومتجاوزًا دفاعات الأمان القياسية.
  • جدار حماية تطبيقات الويب: يقوم جدار حماية تطبيقات الويب بتصفية وحظر حركة المرور الخبيثة على الويب، ويحمي المواقع وصفحات الهبوط من الهجمات السيبرانية والثغرات.
Livewire Filemanager Laravel vulnerability Remote Code Execution
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news