Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Amerykańska agencja CISA dopisała podatność CVE-2026-45247 do katalogu Known Exploited Vulnerabilities, co oznacza, że luka jest wykorzystywana w rzeczywistych atakach. Problem dotyczy rozszerzenia Mirasvit Full Page Cache Warmer dla Magento 2 i wynika z niebezpiecznej deserializacji danych wejściowych, która może prowadzić do zdalnego wykonania kodu bez potrzeby uwierzytelnienia.
To szczególnie groźny scenariusz dla środowisk e-commerce, ponieważ podatny komponent działa blisko warstwy obsługi ruchu sklepowego i może być osiągalny z poziomu zwykłego żądania HTTP. W praktyce oznacza to, że atakujący może próbować przejąć serwer aplikacyjny bez dostępu do panelu administracyjnego.
W skrócie
CVE-2026-45247 to krytyczna podatność typu PHP Object Injection w Mirasvit Full Page Cache Warmer dla Magento 2 w wersjach wcześniejszych niż 1.11.12. Wektor ataku opiera się na spreparowanym ciasteczku CacheWarmer, którego zawartość trafia do funkcji unserialize().
- Dotyczy wersji wcześniejszych niż 1.11.12.
- Umożliwia potencjalne zdalne wykonanie kodu bez logowania.
- Została dodana do katalogu KEV, co potwierdza aktywne wykorzystanie.
- Stanowi wysokie ryzyko dla publicznie dostępnych sklepów Magento 2.
Kontekst / historia
Rozszerzenia związane z cache i optymalizacją wydajności od lat pozostają atrakcyjnym celem dla atakujących, ponieważ przetwarzają duży wolumen ruchu i często działają na styku aplikacji, reverse proxy oraz logiki sklepu. W tym przypadku problem został ujawniony w popularnym komponencie służącym do podgrzewania pełnej pamięci podręcznej stron.
Luka została oznaczona jako CVE-2026-45247, a producent przygotował poprawkę w wersji 1.11.12. Następnie CISA dodała podatność do katalogu KEV, wyznaczając termin usunięcia problemu dla agencji federalnych do 6 czerwca 2026 roku. Tego typu decyzja zwykle powoduje wzrost priorytetu patchowania także w sektorze komercyjnym.
Analiza techniczna
Źródłem problemu jest deserializacja niezaufanych danych pochodzących od użytkownika. Mechanizm rozszerzenia przetwarza wartość ciasteczka CacheWarmer, a następnie przekazuje ją do natywnej funkcji PHP unserialize(). Jeśli środowisko aplikacyjne zawiera odpowiednie łańcuchy gadgetów, możliwe staje się doprowadzenie do wykonania kodu po stronie serwera.
To klasyczny przypadek insecure deserialization, ale wyjątkowo niebezpieczny z kilku powodów. Po pierwsze, wektor wejściowy jest dostępny z poziomu zwykłego storefrontu. Po drugie, atak nie wymaga sesji administracyjnej. Po trzecie, środowiska Magento często zawierają rozbudowany zestaw bibliotek i zależności, które mogą zwiększać skuteczność eksploatacji.
W praktyce pojedyncze żądanie HTTP z odpowiednio zbudowanym ciasteczkiem może wystarczyć do przejęcia procesu aplikacyjnego. Potencjalnym wskaźnikiem kompromitacji są nietypowe wartości ciasteczka CacheWarmer, w tym ciągi zawierające zakodowane dane odpowiadające serializowanym obiektom PHP. Takie wzorce warto analizować w logach serwera WWW, WAF, CDN oraz warstwy aplikacyjnej.
Konsekwencje / ryzyko
Wpływ podatności należy ocenić jako krytyczny. Skuteczne wykorzystanie luki może doprowadzić nie tylko do wykonania kodu, ale także do trwałej kompromitacji środowiska sklepowego i dalszej eskalacji działań napastnika.
- zdalne wykonanie kodu na serwerze sklepu,
- instalacja webshelli i mechanizmów trwałego dostępu,
- kradzież danych klientów oraz informacji transakcyjnych,
- modyfikacja treści sklepu i osadzanie skimmerów płatniczych,
- pivoting do kolejnych systemów w tej samej infrastrukturze.
Najbardziej narażone są internetowo dostępne instancje Magento 2 korzystające z podatnych wersji rozszerzenia. Dla organizacji e-commerce ryzyko obejmuje zarówno straty finansowe, jak i utratę reputacji, koszty incydentu oraz potencjalne skutki regulacyjne.
Rekomendacje
Najważniejszym działaniem jest jak najszybsza identyfikacja wszystkich instalacji korzystających z Mirasvit Full Page Cache Warmer oraz aktualizacja do wersji 1.11.12 lub nowszej. Jeśli natychmiastowa aktualizacja nie jest możliwa, warto rozważyć czasowe wyłączenie komponentu oraz wdrożenie reguł blokujących podejrzane wartości ciasteczka CacheWarmer.
- przeprowadzić inwentaryzację sklepów Magento pod kątem obecności podatnego rozszerzenia,
- sprawdzić logi HTTP, reverse proxy, CDN i WAF pod kątem anomalii związanych z
CacheWarmer, - poszukać oznak wykonania poleceń, nowych plików PHP i nieautoryzowanych zmian w katalogach aplikacji,
- zweryfikować integralność kodu sklepu oraz zainstalowanych modułów,
- odświeżyć sekrety, klucze API i dane dostępowe w razie podejrzenia kompromitacji,
- ograniczyć uprawnienia procesów aplikacyjnych i wzmocnić segmentację środowiska,
- uwzględnić tę lukę w priorytetach patchowania jako aktywnie wykorzystywaną.
Incydent ten powinien być również impulsem do szerszego przeglądu bezpieczeństwa aplikacji PHP. Deserializacja danych kontrolowanych przez użytkownika pozostaje jednym z najbardziej niebezpiecznych antywzorców w środowiskach opartych na rozbudowanych frameworkach i licznych zależnościach.
Podsumowanie
CVE-2026-45247 w Mirasvit Full Page Cache Warmer pokazuje, jak komponent odpowiedzialny za wydajność może stać się bezpośrednim wektorem przejęcia serwera. Dodanie luki do katalogu KEV przez CISA potwierdza, że zagrożenie ma charakter operacyjny, a nie wyłącznie teoretyczny.
Organizacje utrzymujące sklepy Magento powinny potraktować aktualizację, analizę logów oraz działania typu threat hunting jako zadania pilne. W przypadku środowisk produkcyjnych zwłoka zwiększa ryzyko pełnej kompromitacji sklepu i danych klientów.