CISA pozvala na hitnu zakrpu Mirasvitovog proširenja za Magento zbog iskorištavane ranjivosti

Američka agencija za kibernetičku sigurnost CISA u srijedu je pozvala savezne agencije da odmah zakrpaju kritičnu ranjivost u Mirasvit Full Page Cache Warmer proširenju za Magento 2, nakon što je potvrđeno da je propust iskorištavan u praksi za udaljeno izvršavanje koda. Riječ je o ranjivosti pratećoj pod oznakom CVE-2026-45247, kojoj je dodijeljen CVSS rezultat 9,8, a opisuje se kao PHP object injection koja se može iskoristiti bez autentifikacije na Magento i Adobe Commerce poslužiteljima.

Prema navodima SecurityWeeka, napad se može provesti kroz posebno izrađene serialized PHP object payloads umetnute u CacheWarmer kolačić, koji se potom deserijalizira bez ograničenja klasa koje se smiju instancirati. Sansec navodi da napadač tako preuzima kontrolu nad objektima koje PHP rekonstruira, a u kombinaciji s postojećim gadget chainom iz klasa koje Magento i njegove ovisnosti već isporučuju, to može dovesti do remote code executiona.

SecurityWeek navodi i da tisuće Magento i Adobe Commerce trgovina koriste Mirasvit Cache Warmer proširenje. Prema istom izvješću, svi sustavi koji koriste verziju prije 1.11.12 potencijalno su izloženi napadima. Ranjivost je javno otkrivena 26. svibnja, a Imperva navodi da su je prijetitelji počeli iskorištavati za RCE ubrzo nakon objave.

CISA je u srijedu dodala CVE-2026-45247 u svoj katalog Known Exploited Vulnerabilities i zatražila od saveznih agencija da zakrpu instaliraju u roku od tri dana, u skladu s Binding Operational Directive 22-01. Iako se ta direktiva odnosi na savezne agencije, SecurityWeek navodi da se svim organizacijama savjetuje ažuriranje Mirasvit Cache Warmer instalacija na verziju 1.11.12 ili noviju, koja sadržava zakrpe za iskorištavani propust.

Sansec navodi i način provjere mogućeg kompromitiranja. Administratori mogu pregledati zahtjeve prema storefrontu za CacheWarmer kolačić koji sadrži marker CacheWarmer: i base64 niz. Kako serialized PHP objekti kodiraju vrijednosti koje počinju s Tz, Qz ili YT, kolačić čija vrijednost odgovara obrascu CacheWarmer:(Tz|Qz|YT) smatra se snažnim pokazateljem pokušaja iskorištavanja.