Laravel in 2026: 1.5 Million Websites Under Fire

Laravel powers over 1.5 million websites worldwide and holds a dominant 60% market share among PHP frameworks, according to BuiltWith and GloryWebs statistics. More than 154,000 companies rely on it for their web applications. That dominance makes Laravel — and its ecosystem of packages like Livewire, Composer, and community tools — a high-value target for attackers.

In 2026, the Laravel ecosystem has been hit by a wave of critical vulnerabilities that should alarm every PHP developer. The most severe — CVE-2025-54068, a remote code execution flaw in Livewire — was added to CISA's Known Exploited Vulnerabilities (KEV) catalog in March 2026, with federal agencies ordered to patch by April 3, 2026. A proof-of-concept exploit tool was publicly released by Synacktiv. Meanwhile, Composer itself received two command injection patches in April 2026, and a CVSS 10.0 SSTI vulnerability was found in a popular Laravel documentation package.

This is not a theoretical risk. These vulnerabilities are being actively exploited in the wild. If you're running Laravel in production, this article is your complete guide to every critical CVE you need to know about.

Laravel has accumulated 21 CVEs since 2017, with 3 published in 2025 alone averaging a severity score of 6.1. But in 2026, the severity has escalated dramatically — the top CVE carries a CVSS score of 9.2 and is on the CISA KEV list.

9.2
CVSS v4.0 — CVE-2025-54068 Livewire RCE
Source: NVD / FIRST.org, 2025
1.5M+
Websites running Laravel worldwide
Source: BuiltWith / GloryWebs, 2026
60%
PHP framework market share held by Laravel
Source: GloryWebs / 6sense, 2026
CISA KEV
Livewire RCE added to Known Exploited Vulnerabilities
Source: CISA, March 2026

CVE-2025-54068 — Livewire Remote Code Execution (CVSS 9.2)

This is the most critical Laravel vulnerability of 2026 and arguably one of the most dangerous PHP framework CVEs ever disclosed. CVE-2025-54068 affects Livewire v3 through version 3.6.3 and allows unauthenticated remote code execution through the component property hydration mechanism.

How the exploit works

Livewire v3 synchronizes client-side state with server-side PHP properties on every request through a process called "hydration." The vulnerability lies in the hydrateForUpdate method in Livewire's HandleComponents class, which directly calls the standard hydrate function on untrusted client-side property updates without adequate validation.

Synacktiv's research revealed two attack vectors:

  1. With APP_KEY known: By chaining Livewire's synthesizer classes with existing PHP classes, an attacker can craft payloads that achieve RCE during the component's state restoration. The research tool Livepyre automates this exploitation path.
  2. Without APP_KEY: A more critical discovery — attackers can smuggle synthesizers via the updates mechanism, entirely bypassing the need for the APP_KEY. This means the vulnerability is exploitable even on properly configured applications.
// Vulnerable hydration path (simplified)
// Livewire v3 <= 3.6.3
class HandleComponents {
    protected function hydrateForUpdate($component, $updates) {
        foreach ($updates as $key => $value) {
            // No validation on synthesizer types
            // Attacker-controlled data reaches hydrate()
            $component->$key = $this->hydrate($value);
        }
    }
}

CISA KEV and active exploitation

CISA added CVE-2025-54068 to its Known Exploited Vulnerabilities catalog on March 20, 2026, ordering federal agencies to patch by April 3, 2026. The vulnerability was one of 9 CVEs out of 31 identified in March 2026 that enabled remote code execution across multiple products. Recorded Future's March 2026 CVE Landscape report confirmed active exploitation in the wild.

Remediation

Upgrade Livewire to version 3.6.4 or later immediately. If you cannot upgrade right away, consider temporarily disabling Livewire components that accept user-controlled property updates. Critically, even after patching, if your APP_KEY has ever been exposed (via .env file leaks, debug pages, or default values), consider it compromised and rotate it.

CVE-2025-14894 — Livewire Filemanager RCE (CVSS 7.5)

A second critical vulnerability in the Livewire ecosystem, CVE-2025-14894 affects the Livewire Filemanager package. This component fails to perform proper file type and MIME validation during file uploads, allowing unauthenticated attackers to upload malicious PHP files that can be executed via the /storage/ URL path.

Attack scenario

The exploitation path is straightforward:

  1. The attacker uploads a PHP webshell through Livewire Filemanager's upload interface
  2. The file is stored in the storage/app/public directory
  3. If php artisan storage:link has been executed (a standard Laravel setup step), the file becomes web-accessible
  4. The attacker navigates to /storage/webshell.php to execute arbitrary commands

CERT/CC issued advisory VU#650657 warning that the vendor considers file type validation out of scope, recommending users perform their own validation. This means no patch is available or planned — you must implement your own file type restrictions.

// Mitigation: add file type validation in your Livewire component
protected $rules = [
    'file' => 'required|file|mimes:jpg,jpeg,png,gif,pdf|max:10240',
];

// Also block PHP files at the web server level (Nginx)
location ~* /storage/.*\.php$ {
    deny all;
    return 403;
}

CVE-2025-53833 — LaRecipe SSTI with CVSS 10.0

CVE-2025-53833 received the maximum CVSS score of 10.0 — a Server-Side Template Injection (SSTI) vulnerability in LaRecipe, a widely-used Laravel documentation package. Versions prior to 2.8.1 allow attackers to inject arbitrary code into server-side templates, which is then executed with the same privileges as the Laravel application.

Impact

Successful exploitation allows attackers to:

  • Execute arbitrary commands on the server
  • Access sensitive environment variables (including APP_KEY, database credentials, API keys)
  • Escalate access depending on server configuration
  • Pivot to other systems on the network

The vulnerability arises from improper handling of user inputs in LaRecipe's template rendering engine. While LaRecipe is primarily used in development environments, many teams deploy documentation alongside their production applications, making this a real production risk.

Remediation

Upgrade to LaRecipe v2.8.1 or later. If you're using LaRecipe in production, audit whether it's accessible to unauthenticated users and add authentication middleware if possible. Consider moving documentation to a static site generator for production deployments.

Composer Command Injection — CVE-2026-40261 & CVE-2026-40176

In April 2026, Composer — the dependency manager that every Laravel project depends on — received critical security patches for two command injection vulnerabilities in its Perforce VCS driver.

CVE-2026-40261 (CVSS 8.8)

An improper input validation vulnerability stemming from inadequate escaping when appending source reference parameters. Attackers can inject arbitrary shell commands through crafted package metadata containing shell metacharacters. Critically, this vulnerability can be exploited through tainted package metadata even without Perforce installed on the target system.

CVE-2026-40176 (CVSS 7.8)

A similar command injection flaw that allows an attacker controlling a repository configuration in a malicious composer.json to inject arbitrary commands when declaring a Perforce VCS repository.

The supply chain angle

These vulnerabilities are particularly dangerous because they target the dependency resolution process itself. A malicious package published to Packagist could potentially exploit these flaws during composer install or composer update, turning a routine dependency installation into a code execution attack. Composer scanned Packagist.org and found no evidence of exploitation at the time of disclosure.

# Check your Composer version
composer --version

# Update to patched versions
composer self-update 2.9.6
# or for LTS
composer self-update 2.2.27

The Full Laravel CVE Timeline (2025-2026)

Here's a consolidated view of every significant CVE affecting the Laravel ecosystem in 2025-2026:

CVE Package CVSS Type Fix
CVE-2025-54068 livewire/livewire 9.2 RCE (Hydration) v3.6.4
CVE-2025-53833 saleem-hadad/larecipe 10.0 SSTI → RCE v2.8.1
CVE-2026-40261 composer/composer 8.8 Command Injection v2.9.6
CVE-2026-40176 composer/composer 7.8 Command Injection v2.9.6
CVE-2025-14894 livewire-filemanager 7.5 Unrestricted Upload → RCE No patch

Why Laravel Developers Should Care About Composer Security

Every Laravel project starts with composer create-project and lives or dies by composer.lock. Yet most developers treat Composer as a transparent utility — they don't think of composer install as a potential attack vector. The April 2026 Composer CVEs prove otherwise.

The composer.lock blind spot

Your composer.lock file pins exact versions, but it doesn't protect you from:

  • Post-lock CVEs: A vulnerability disclosed after you locked your dependencies. Your locked version is now vulnerable, but you won't know unless you're monitoring.
  • Transitive dependencies: Laravel 11 pulls in over 70 packages. A vulnerability in any of them affects your application.
  • Composer itself: If your Composer binary is outdated, even composer install can be exploited.

composer audit is not enough

Since Composer 2.4, composer audit checks your dependencies against known advisories. But like npm audit, it only runs when you remember to run it. Between audits, new CVEs can be disclosed without your knowledge. This is exactly the gap that continuous monitoring fills.

# Run composer audit (requires Composer 2.4+)
composer audit

# Check a specific lockfile
composer audit --locked

# Machine-readable output for CI/CD
composer audit --format=json

Securing Your Laravel Application: A 2026 Checklist

Based on the vulnerabilities disclosed in 2026, here's a practical security checklist for Laravel developers:

1. Patch critical dependencies immediately

  • Livewire: upgrade to ≥ 3.6.4
  • Composer: upgrade to ≥ 2.9.6 (or 2.2.27 LTS)
  • LaRecipe: upgrade to ≥ 2.8.1 or remove if unused

2. Protect your APP_KEY

  • Never commit .env to version control
  • Disable debug mode in production (APP_DEBUG=false)
  • Rotate your APP_KEY if it has ever been exposed
  • Use environment variable injection in CI/CD rather than .env files

3. Harden file uploads

  • Always validate file MIME types and extensions server-side
  • Block PHP execution in storage directories at the web server level
  • Consider storing uploads outside the web root or on object storage (S3)

4. Monitor your composer.lock continuously

  • Run composer audit in CI/CD pipelines
  • Set up continuous monitoring for post-deployment CVE disclosures
  • Subscribe to the GitHub Advisory Database and OSV.dev for PHP/Composer advisories

5. Review your Livewire components

  • Audit which properties are exposed to client-side updates
  • Use Livewire's #[Locked] attribute for properties that should never be client-updatable
  • Validate all incoming property values with Laravel validation rules
use Livewire\Attributes\Locked;
use Livewire\Component;

class SecureComponent extends Component
{
    // This property cannot be updated from the client
    #[Locked]
    public int $userId;

    // Validate all client-updatable properties
    protected $rules = [
        'name' => 'required|string|max:255',
        'email' => 'required|email',
    ];

    public function updated($property)
    {
        $this->validateOnly($property);
    }
}

Frequently Asked Questions

Is CVE-2025-54068 being actively exploited?

Yes. CISA added it to the Known Exploited Vulnerabilities catalog in March 2026, which means exploitation has been confirmed in the wild. The public release of the Livepyre exploit tool by Synacktiv makes exploitation accessible to a wider range of attackers. Recorded Future's March 2026 report lists it among 9 RCE CVEs with confirmed active exploitation.

Does upgrading Livewire to 3.6.4 fully protect me?

Upgrading patches the hydration bypass, but if your APP_KEY has been leaked, attackers may still be able to exploit Livewire's component signing mechanism. Rotate your APP_KEY after upgrading, and audit your application for any signs of compromise.

I don't use Perforce. Am I affected by the Composer CVEs?

Potentially yes. CVE-2026-40261 can be triggered through tainted package metadata even without Perforce installed on your system. The vulnerability is in how Composer processes source references, not in the Perforce client itself. Update Composer to 2.9.6 regardless.

How can I check if my Laravel project uses vulnerable packages?

Run composer audit in your project root. This checks your composer.lock against known advisories. For continuous monitoring without manual checks, tools like CVE OptiBot can scan your composer.lock daily and alert you when new vulnerabilities are disclosed.

Should I stop using Livewire?

No. Livewire v3.6.4 patches the known vulnerabilities, and the Livewire team responded quickly with fixes. The key lesson is to keep Livewire updated and follow the secure coding patterns (locked properties, server-side validation) outlined above. Every popular framework has CVEs — what matters is how quickly they're patched and how well you monitor.

What about Laravel framework CVEs (not ecosystem packages)?

Laravel framework itself has 21 CVEs since 2017, with 3 in 2025 averaging 6.1 severity. Most Laravel security issues in 2026 are in the broader ecosystem (Livewire, Composer, community packages) rather than the core framework. However, transitive dependencies in Laravel 11 pull in 70+ packages, any of which can introduce vulnerabilities.

Laravel en 2026 : 1,5 million de sites web sous le feu

Laravel propulse plus de 1,5 million de sites web dans le monde et détient une part de marché dominante de 60 % parmi les frameworks PHP, selon les statistiques de BuiltWith et GloryWebs. Plus de 154 000 entreprises s'appuient dessus pour leurs applications web. Cette domination fait de Laravel — et de son écosystème de packages comme Livewire, Composer et les outils communautaires — une cible de haute valeur pour les attaquants.

En 2026, l'écosystème Laravel a été frappé par une vague de vulnérabilités critiques qui devrait alarmer chaque développeur PHP. La plus sévère — CVE-2025-54068, une faille d'exécution de code à distance dans Livewire — a été ajoutée au catalogue CISA KEV (Known Exploited Vulnerabilities) en mars 2026, avec obligation pour les agences fédérales américaines de patcher avant le 3 avril 2026. Un outil d'exploitation proof-of-concept a été publié par Synacktiv. En parallèle, Composer a reçu deux patches d'injection de commande en avril 2026, et une vulnérabilité SSTI de score CVSS 10.0 a été découverte dans un package populaire de documentation Laravel.

Ce n'est pas un risque théorique. Ces vulnérabilités sont activement exploitées. Si vous faites tourner Laravel en production, cet article est votre guide complet de chaque CVE critique à connaître.

Laravel totalise 21 CVE depuis 2017, dont 3 publiées en 2025 avec un score de sévérité moyen de 6.1. Mais en 2026, la sévérité a dramatiquement augmenté — la CVE principale porte un score CVSS de 9.2 et figure sur la liste CISA KEV.

9.2
CVSS v4.0 — CVE-2025-54068 RCE Livewire
Source : NVD / FIRST.org, 2025
1,5M+
Sites web utilisant Laravel dans le monde
Source : BuiltWith / GloryWebs, 2026
60 %
Part de marché des frameworks PHP détenue par Laravel
Source : GloryWebs / 6sense, 2026
CISA KEV
RCE Livewire ajoutée au catalogue Known Exploited Vulnerabilities
Source : CISA, mars 2026

CVE-2025-54068 — Exécution de code à distance Livewire (CVSS 9.2)

C'est la vulnérabilité Laravel la plus critique de 2026, et sans doute l'une des CVE de framework PHP les plus dangereuses jamais divulguées. CVE-2025-54068 affecte Livewire v3 jusqu'à la version 3.6.3 et permet une exécution de code à distance non authentifiée via le mécanisme d'hydratation des propriétés des composants.

Comment fonctionne l'exploit

Livewire v3 synchronise l'état côté client avec les propriétés PHP côté serveur à chaque requête via un processus appelé « hydratation ». La vulnérabilité réside dans la méthode hydrateForUpdate de la classe HandleComponents de Livewire, qui appelle directement la fonction hydrate standard sur les mises à jour de propriétés côté client non fiables, sans validation adéquate.

La recherche de Synacktiv a révélé deux vecteurs d'attaque :

  1. Avec l'APP_KEY connu : En chaînant les classes synthesizer de Livewire avec des classes PHP existantes, un attaquant peut créer des payloads qui exécutent du code pendant la restauration de l'état du composant. L'outil Livepyre automatise ce chemin d'exploitation.
  2. Sans l'APP_KEY : Découverte plus critique — les attaquants peuvent injecter des synthesizers via le mécanisme de mise à jour, contournant entièrement le besoin de l'APP_KEY. Cela signifie que la vulnérabilité est exploitable même sur des applications correctement configurées.
// Chemin d'hydratation vulnérable (simplifié)
// Livewire v3 <= 3.6.3
class HandleComponents {
    protected function hydrateForUpdate($component, $updates) {
        foreach ($updates as $key => $value) {
            // Pas de validation sur les types de synthesizer
            // Les données contrôlées par l'attaquant atteignent hydrate()
            $component->$key = $this->hydrate($value);
        }
    }
}

CISA KEV et exploitation active

CISA a ajouté CVE-2025-54068 à son catalogue Known Exploited Vulnerabilities le 20 mars 2026, ordonnant aux agences fédérales de patcher avant le 3 avril 2026. La vulnérabilité fait partie des 9 CVE sur 31 identifiées en mars 2026 permettant l'exécution de code à distance. Le rapport Recorded Future de mars 2026 confirme l'exploitation active.

Remédiation

Mettez à jour Livewire vers la version 3.6.4 ou ultérieure immédiatement. Si vous ne pouvez pas mettre à jour tout de suite, envisagez de désactiver temporairement les composants Livewire acceptant des mises à jour de propriétés contrôlées par l'utilisateur. De manière critique, même après le patch, si votre APP_KEY a déjà été exposée (via des fuites de fichier .env, des pages de debug ou des valeurs par défaut), considérez-la comme compromise et effectuez une rotation.

CVE-2025-14894 — RCE Livewire Filemanager (CVSS 7.5)

Une seconde vulnérabilité critique dans l'écosystème Livewire, CVE-2025-14894 affecte le package Livewire Filemanager. Ce composant ne valide pas correctement les types de fichiers et les MIME lors des uploads, permettant à des attaquants non authentifiés d'uploader des fichiers PHP malveillants exécutables via le chemin /storage/.

Scénario d'attaque

  1. L'attaquant uploade un webshell PHP via l'interface d'upload de Livewire Filemanager
  2. Le fichier est stocké dans le répertoire storage/app/public
  3. Si php artisan storage:link a été exécuté (une étape standard de configuration Laravel), le fichier devient accessible via le web
  4. L'attaquant navigue vers /storage/webshell.php pour exécuter des commandes arbitraires

Le CERT/CC a publié l'avis VU#650657 avertissant que le développeur considère la validation des types de fichiers hors du périmètre, recommandant aux utilisateurs d'implémenter leur propre validation. Cela signifie qu'aucun patch n'est disponible ni prévu — vous devez implémenter vos propres restrictions de types de fichiers.

// Atténuation : ajoutez la validation des types de fichiers dans votre composant Livewire
protected $rules = [
    'file' => 'required|file|mimes:jpg,jpeg,png,gif,pdf|max:10240',
];

// Bloquez aussi les fichiers PHP au niveau du serveur web (Nginx)
location ~* /storage/.*\.php$ {
    deny all;
    return 403;
}

CVE-2025-53833 — SSTI LaRecipe avec CVSS 10.0

CVE-2025-53833 a reçu le score CVSS maximum de 10.0 — une vulnérabilité d'injection de template côté serveur (SSTI) dans LaRecipe, un package de documentation Laravel très utilisé. Les versions antérieures à 2.8.1 permettent aux attaquants d'injecter du code arbitraire dans les templates côté serveur, qui est ensuite exécuté avec les mêmes privilèges que l'application Laravel.

Impact

  • Exécution de commandes arbitraires sur le serveur
  • Accès aux variables d'environnement sensibles (APP_KEY, identifiants de base de données, clés API)
  • Escalade d'accès selon la configuration du serveur
  • Pivot vers d'autres systèmes sur le réseau

Remédiation

Mettez à jour vers LaRecipe v2.8.1 ou ultérieur. Si vous utilisez LaRecipe en production, vérifiez s'il est accessible aux utilisateurs non authentifiés et ajoutez un middleware d'authentification si possible. Envisagez de déplacer la documentation vers un générateur de site statique pour les déploiements en production.

Injection de commande Composer — CVE-2026-40261 & CVE-2026-40176

En avril 2026, Composer — le gestionnaire de dépendances dont chaque projet Laravel dépend — a reçu des patches de sécurité critiques pour deux vulnérabilités d'injection de commande dans son driver VCS Perforce.

CVE-2026-40261 (CVSS 8.8)

Une vulnérabilité de validation d'entrée liée à un échappement inadéquat lors de l'ajout de paramètres de référence source. Les attaquants peuvent injecter des commandes shell arbitraires via des métadonnées de package contenant des métacaractères shell. De manière critique, cette vulnérabilité peut être exploitée même sans Perforce installé sur le système cible.

CVE-2026-40176 (CVSS 7.8)

Une faille similaire d'injection de commande permettant à un attaquant contrôlant la configuration d'un dépôt dans un composer.json malveillant déclarant un dépôt VCS Perforce d'injecter des commandes arbitraires.

L'angle supply chain

Ces vulnérabilités sont particulièrement dangereuses car elles ciblent le processus de résolution des dépendances lui-même. Un package malveillant publié sur Packagist pourrait exploiter ces failles lors d'un composer install ou composer update, transformant une installation de dépendance routine en attaque d'exécution de code. Composer a scanné Packagist.org et n'a trouvé aucune preuve d'exploitation au moment de la divulgation.

# Vérifiez votre version de Composer
composer --version

# Mettez à jour vers les versions patchées
composer self-update 2.9.6
# ou pour la version LTS
composer self-update 2.2.27

La timeline complète des CVE Laravel (2025-2026)

CVE Package CVSS Type Correctif
CVE-2025-54068 livewire/livewire 9.2 RCE (Hydratation) v3.6.4
CVE-2025-53833 saleem-hadad/larecipe 10.0 SSTI → RCE v2.8.1
CVE-2026-40261 composer/composer 8.8 Injection de commande v2.9.6
CVE-2026-40176 composer/composer 7.8 Injection de commande v2.9.6
CVE-2025-14894 livewire-filemanager 7.5 Upload sans restriction → RCE Aucun patch

Pourquoi les développeurs Laravel doivent se soucier de la sécurité Composer

Chaque projet Laravel commence par composer create-project et vit ou meurt par composer.lock. Pourtant, la plupart des développeurs traitent Composer comme un utilitaire transparent — ils ne pensent pas à composer install comme un vecteur d'attaque potentiel. Les CVE Composer d'avril 2026 prouvent le contraire.

L'angle mort du composer.lock

Votre fichier composer.lock fixe les versions exactes, mais ne vous protège pas contre :

  • Les CVE post-lock : une vulnérabilité divulguée après avoir verrouillé vos dépendances. Votre version verrouillée est maintenant vulnérable, mais vous ne le saurez pas sans monitoring.
  • Les dépendances transitives : Laravel 11 embarque plus de 70 packages. Une vulnérabilité dans n'importe lequel affecte votre application.
  • Composer lui-même : si votre binaire Composer est obsolète, même composer install peut être exploité.

composer audit ne suffit pas

Depuis Composer 2.4, composer audit vérifie vos dépendances contre les advisories connues. Mais comme npm audit, il ne s'exécute que quand vous y pensez. Entre les audits, de nouvelles CVE peuvent être divulguées sans que vous le sachiez. C'est exactement le vide que comble le monitoring continu.

# Lancez composer audit (nécessite Composer 2.4+)
composer audit

# Vérifiez un lockfile spécifique
composer audit --locked

# Sortie lisible par machine pour CI/CD
composer audit --format=json

Sécuriser votre application Laravel : checklist 2026

1. Patcher les dépendances critiques immédiatement

  • Livewire : mettre à jour vers ≥ 3.6.4
  • Composer : mettre à jour vers ≥ 2.9.6 (ou 2.2.27 LTS)
  • LaRecipe : mettre à jour vers ≥ 2.8.1 ou supprimer si inutilisé

2. Protéger votre APP_KEY

  • Ne jamais committer .env dans le contrôle de version
  • Désactiver le mode debug en production (APP_DEBUG=false)
  • Effectuer une rotation de l'APP_KEY si elle a été exposée
  • Utiliser l'injection de variables d'environnement en CI/CD plutôt que des fichiers .env

3. Durcir les uploads de fichiers

  • Toujours valider les types MIME et extensions côté serveur
  • Bloquer l'exécution PHP dans les répertoires de stockage au niveau du serveur web
  • Envisager de stocker les uploads en dehors du web root ou sur un stockage objet (S3)

4. Monitorer votre composer.lock en continu

  • Exécuter composer audit dans les pipelines CI/CD
  • Mettre en place un monitoring continu pour les CVE divulguées après le déploiement
  • S'abonner au GitHub Advisory Database et à OSV.dev pour les advisories PHP/Composer

5. Auditer vos composants Livewire

  • Vérifier quelles propriétés sont exposées aux mises à jour côté client
  • Utiliser l'attribut #[Locked] de Livewire pour les propriétés qui ne doivent jamais être modifiables côté client
  • Valider toutes les valeurs de propriétés entrantes avec les règles de validation Laravel
use Livewire\Attributes\Locked;
use Livewire\Component;

class SecureComponent extends Component
{
    // Cette propriété ne peut pas être mise à jour depuis le client
    #[Locked]
    public int $userId;

    // Valider toutes les propriétés modifiables par le client
    protected $rules = [
        'name' => 'required|string|max:255',
        'email' => 'required|email',
    ];

    public function updated($property)
    {
        $this->validateOnly($property);
    }
}

Questions fréquentes

CVE-2025-54068 est-elle activement exploitée ?

Oui. CISA l'a ajoutée au catalogue Known Exploited Vulnerabilities en mars 2026, ce qui signifie que l'exploitation a été confirmée. La publication publique de l'outil d'exploitation Livepyre par Synacktiv rend l'exploitation accessible à un plus grand nombre d'attaquants. Le rapport Recorded Future de mars 2026 la répertorie parmi 9 CVE RCE avec exploitation active confirmée.

La mise à jour de Livewire vers 3.6.4 me protège-t-elle complètement ?

La mise à jour corrige le bypass d'hydratation, mais si votre APP_KEY a été divulguée, les attaquants peuvent toujours exploiter le mécanisme de signature des composants de Livewire. Effectuez une rotation de votre APP_KEY après la mise à jour, et auditez votre application pour tout signe de compromission.

Je n'utilise pas Perforce. Suis-je concerné par les CVE Composer ?

Potentiellement oui. CVE-2026-40261 peut être déclenchée via des métadonnées de package corrompues même sans Perforce installé sur votre système. La vulnérabilité réside dans la façon dont Composer traite les références source, pas dans le client Perforce lui-même. Mettez à jour Composer vers 2.9.6 dans tous les cas.

Comment vérifier si mon projet Laravel utilise des packages vulnérables ?

Lancez composer audit à la racine de votre projet. Cela vérifie votre composer.lock contre les advisories connues. Pour un monitoring continu sans vérifications manuelles, des outils comme CVE OptiBot peuvent scanner votre composer.lock quotidiennement et vous alerter lorsque de nouvelles vulnérabilités sont divulguées.

Dois-je arrêter d'utiliser Livewire ?

Non. Livewire v3.6.4 corrige les vulnérabilités connues, et l'équipe Livewire a répondu rapidement avec des correctifs. La leçon clé est de garder Livewire à jour et de suivre les patterns de codage sécurisés (propriétés verrouillées, validation côté serveur) décrits ci-dessus. Chaque framework populaire a des CVE — ce qui compte, c'est la rapidité des correctifs et la qualité de votre monitoring.

Qu'en est-il des CVE du framework Laravel (pas des packages de l'écosystème) ?

Le framework Laravel lui-même totalise 21 CVE depuis 2017, dont 3 en 2025 avec un score moyen de 6.1. La plupart des problèmes de sécurité Laravel en 2026 concernent l'écosystème plus large (Livewire, Composer, packages communautaires) plutôt que le framework principal. Cependant, les dépendances transitives de Laravel 11 embarquent plus de 70 packages, dont chacun peut introduire des vulnérabilités.

Monitor your composer.lock automatically

Surveillez votre composer.lock automatiquement

CVE OptiBot scans your lockfiles daily and alerts you when new vulnerabilities like CVE-2025-54068 are disclosed. No code access required — just upload your composer.lock.

CVE OptiBot scanne vos lockfiles chaque jour et vous alerte lorsque de nouvelles vulnérabilités comme CVE-2025-54068 sont divulguées. Aucun accès au code requis — uploadez simplement votre composer.lock.

Start free monitoring Démarrer le monitoring gratuit
WordPress CVE Monitoring → Monitoring CVE WordPress → CVE Monitoring Tool → Outil de Monitoring CVE → WooCommerce Security 2026 → Sécurité WooCommerce 2026 → Composer.lock Vulnerabilities → Vulnérabilités Composer.lock →