Foto: Wikimedia Commons / DHSgov, Public domain
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture CISA u srijedu je dodala kritičnu ranjivost koja pogađa Mirasvit Cache Warmer, popularno Magento proširenje za full-page cache, u svoj katalog Known Exploited Vulnerabilities (KEV). Riječ je o ranjivosti označenoj kao CVE-2026-45247, za koju je naveden CVSS rezultat 9,8, a CISA navodi da je riječ o slučaju deserializacije nepouzdanih podataka koji može omogućiti izvršavanje proizvoljnog PHP koda na pogođenom poslužitelju.
Agencija je navela da Mirasvit Full Page Cache Warmer sadrži ranjivost deserializacije nepouzdanih podataka koja bi mogla omogućiti neautentificiranim napadačima udaljeno izvršavanje koda slanjem posebno izrađenog serializiranog PHP objekta u kolačiću CacheWarmer. Ranjivost pogađa sve verzije proširenja prije verzije 1.11.12, a zakrpe su objavljene 25. svibnja 2026.
Uvrštavanje CVE-2026-45247 u KEV katalog dolazi nekoliko dana nakon što je Sansec naveo da se PHP object injection ranjivost mogla iskoristiti putem bilo kojeg zahtjeva prema trgovini koji nosi posebno izrađen CacheWarmer cookie. Prema toj sigurnosnoj tvrtki, dio vrijednosti kolačića zatim se deserializira pomoću PHP-ove izvorne funkcije unserialize() bez potrebe za autentifikacijom ili administratorskim ovlastima. Sansec je dodao da, budući da vrijednost dolazi izravno od klijenta, napadač kontrolira objekte koje PHP rekonstruira, a kombinacija s gadget chainom iz klasa koje Magento i njegove ovisnosti već isporučuju može dovesti do udaljenog izvršavanja koda.
Sansec navodi da je identificirao oko 6.000 trgovina koje koriste Mirasvit proširenja, iako bi stvarni broj mogao biti veći jer CDN servisi poput Cloudflarea prikrivaju instalacije. Thalesov Imperva kasnije je objavio da je uočio aktivnu napadačku aktivnost koja pokušava iskoristiti CVE-2026-45247 putem serializiranih PHP object payloadova dostavljenih kroz zlonamjerne HTTP zahtjeve. Tvrtka kaže da promatrani payloadovi sadrže base64-enkodirane serializirane objekte osmišljene za pokretanje PHP Object Deserialization i postizanje udaljenog izvršavanja koda kroz često zlorabljene gadget chainove, a u nekoliko opaženih slučajeva napadači su koristili testne naredbe radi provjere uspješnog izvršavanja koda.
Aktivnost je prvenstveno usmjerena na gaming i poslovne web stranice, a među najčešće ciljanima izdvojeni su SAD, Ujedinjeno Kraljevstvo, Francuska i Australija. Trenutačno nije poznato tko stoji iza pokušaja iskorištavanja, iako se kao cilj navodi označavanje ranjivih Magento okruženja i potvrda da je udaljeno izvršavanje koda moguće. Zbog aktivnog iskorištavanja, Federal Civilian Executive Branch (FCEB) agencije dobile su nalog da primijene zakrpe do 6. lipnja 2026.
Vlasnicima stranica savjetuje se da pregledaju zahtjeve prema trgovini koji nose CacheWarmer cookie čija vrijednost sadrži oznaku "CacheWarmer:" iza koje slijedi Base64-enkodirani niz. Sansec navodi da se serializirani PHP objekti base64-enkodiraju u vrijednosti koje počinju s Tz, Qz ili YT, pa je vrijednost CacheWarmer:(Tz|Qz|YT) snažan pokazatelj pokušaja iskorištavanja.
Vezane vijesti
