CISA dodaje krytyczną lukę Mirasvit Full Page Cache Warmer do katalogu aktywnie wykorzystywanych podatności - Security Bez Tabu

CISA dodaje krytyczną lukę Mirasvit Full Page Cache Warmer do katalogu aktywnie wykorzystywanych podatności

Cybersecurity news

Wprowadzenie do problemu / definicja

Amerykańska agencja CISA rozszerzyła katalog Known Exploited Vulnerabilities o krytyczną podatność w rozszerzeniu Mirasvit Full Page Cache Warmer dla Magento 2. Problem dotyczy mechanizmu deserializacji niezaufanych danych w PHP i może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia. To szczególnie istotne dla operatorów sklepów internetowych, ponieważ podatny komponent działa w warstwie storefront i może być osiągalny bezpośrednio z internetu.

W skrócie

Luka została oznaczona jako CVE-2026-45247 i dotyczy wersji Mirasvit Full Page Cache Warmer wcześniejszych niż 1.11.12. Błąd wynika z niebezpiecznego użycia funkcji unserialize() na danych kontrolowanych przez atakującego, przekazywanych przez cookie CacheWarmer. W praktyce umożliwia to przeprowadzenie ataku typu PHP Object Injection, a przy wykorzystaniu odpowiednich gadget chains obecnych w Magento i jego zależnościach może doprowadzić do pełnego przejęcia serwera aplikacyjnego. CISA uznała podatność za aktywnie wykorzystywaną, co znacząco podnosi jej priorytet operacyjny.

  • CVE: CVE-2026-45247
  • Podatne wersje: wcześniejsze niż 1.11.12
  • Wektor ataku: spreparowane cookie CacheWarmer
  • Skutek: zdalne wykonanie kodu bez uwierzytelnienia
  • Status: podatność aktywnie wykorzystywana

Kontekst / historia

Mirasvit Full Page Cache Warmer to popularne rozszerzenie stosowane w środowiskach Magento i Adobe Commerce do podgrzewania cache stron oraz poprawy wydajności sklepu. Takie komponenty mają zwykle szeroki kontakt z ruchem HTTP, co zwiększa ekspozycję na błędy wejścia i logiki przetwarzania danych.

Według dostępnych informacji podatność została zidentyfikowana przez badaczy bezpieczeństwa analizujących sposób obsługi ciasteczka CacheWarmer. Następnie problem został skatalogowany jako CVE-2026-45247, a po potwierdzeniu aktywnej eksploatacji trafił do katalogu KEV prowadzonego przez CISA. Wpis do KEV jest istotnym sygnałem dla zespołów bezpieczeństwa, ponieważ oznacza, że luka nie jest jedynie teoretyczna, lecz została już wykorzystana w rzeczywistych kampaniach lub incydentach.

Analiza techniczna

Rdzeń problemu stanowi deserializacja danych pochodzących od klienta. Aplikacja przetwarza wartość cookie CacheWarmer, a następnie przekazuje ją do natywnej funkcji PHP unserialize(). Jest to wzorzec od lat uznawany za wysokiego ryzyka, ponieważ pozwala na odtworzenie obiektów kontrolowanych przez napastnika.

Jeżeli w środowisku dostępne są odpowiednie klasy z metodami magicznymi, destruktorami lub innymi fragmentami kodu nadającymi się do budowy łańcucha wykonania, atakujący może skonstruować złośliwy ładunek prowadzący do wykonania poleceń po stronie serwera. W tym przypadku istotne jest to, że exploit nie wymaga sesji administracyjnej ani uprzedniego logowania. Wystarczy odpowiednio przygotowane żądanie HTTP zawierające spreparowane ciasteczko.

Z punktu widzenia obrony szczególnie niebezpieczne są trzy elementy. Po pierwsze, punkt wejścia znajduje się w żądaniach kierowanych do sklepu internetowego, więc powierzchnia ataku jest szeroka. Po drugie, atak może być trudny do wychwycenia bez monitorowania wartości nagłówków i cookies. Po trzecie, skuteczne wykorzystanie luki może prowadzić nie tylko do wykonania kodu, ale również do trwałego osadzenia webshella, kradzieży danych aplikacyjnych, przejęcia panelu administracyjnego lub ruchu bocznego do dalszych systemów.

Badacze wskazali także możliwy wzorzec wykrywania prób ataku. Podejrzane mogą być wartości cookie CacheWarmer zawierające marker CacheWarmer: oraz ciągi base64 odpowiadające serializowanym obiektom PHP. W praktyce może to stanowić użyteczny wskaźnik kompromitacji lub co najmniej próby eksploatacji.

Konsekwencje / ryzyko

Dla organizacji utrzymujących sklepy Magento skutki mogą być bardzo poważne. Najbardziej bezpośrednim ryzykiem jest zdalne wykonanie kodu na serwerze aplikacyjnym, co daje napastnikowi możliwość instalacji backdoorów, modyfikacji kodu sklepu, przechwycenia danych klientów, manipulacji zamówieniami lub wykorzystania infrastruktury do dalszych ataków.

Ryzyko biznesowe obejmuje również:

  • przestój sklepu i utratę dostępności usług,
  • naruszenie poufności danych klientów i administratorów,
  • kompromitację danych płatniczych lub tokenów sesyjnych,
  • obniżenie reputacji marki i wzrost kosztów reagowania na incydent,
  • konieczność przeprowadzenia analizy śledczej oraz pełnej rotacji poświadczeń.

Fakt dodania podatności do katalogu KEV oznacza także, że luka powinna być traktowana jako priorytet krytyczny w procesach zarządzania podatnościami. W praktyce nie jest to już wyłącznie problem aktualizacji oprogramowania, lecz zagadnienie aktywnej obrony operacyjnej.

Rekomendacje

Organizacje wykorzystujące Mirasvit Full Page Cache Warmer powinny w pierwszej kolejności zidentyfikować wszystkie instancje Magento 2, na których rozszerzenie jest zainstalowane, a następnie niezwłocznie potwierdzić jego wersję. Jeśli używana jest wersja wcześniejsza niż 1.11.12, należy przeprowadzić aktualizację w trybie pilnym.

Dodatkowo warto wdrożyć następujące działania:

  • przeanalizować logi HTTP pod kątem nietypowych wartości cookie CacheWarmer,
  • sprawdzić, czy na serwerach nie pojawiły się nowe pliki PHP, webshelle lub nieautoryzowane modyfikacje kodu,
  • zweryfikować zadania cron, konta administracyjne, klucze API i integralność modułów Magento,
  • objąć monitoringiem procesy uruchamiane przez serwer WWW oraz nietypowe połączenia wychodzące,
  • wdrożyć reguły WAF wykrywające podejrzane wartości serialized objects w cookies,
  • ograniczyć uprawnienia procesu aplikacyjnego i dostęp zapisu do krytycznych katalogów,
  • przeprowadzić rotację poświadczeń administracyjnych oraz sekretów aplikacyjnych, jeżeli istnieje podejrzenie kompromitacji.

W środowiskach o podwyższonym ryzyku zalecane jest również wykonanie pełnego threat huntingu. Sama aktualizacja usuwa podatność, ale nie eliminuje skutków wcześniejszego włamania. Jeżeli system był wystawiony do internetu, należy założyć możliwość wcześniejszej eksploatacji i potraktować środowisko jako potencjalnie naruszone do czasu zakończenia weryfikacji.

Podsumowanie

CVE-2026-45247 to krytyczna podatność typu PHP Object Injection w rozszerzeniu Mirasvit Full Page Cache Warmer dla Magento 2, umożliwiająca nieautoryzowane zdalne wykonanie kodu za pomocą spreparowanego cookie CacheWarmer. Dodanie luki do katalogu Known Exploited Vulnerabilities przez CISA potwierdza jej realne znaczenie operacyjne i wskazuje, że ryzyko aktywnej eksploatacji jest wysokie. Dla administratorów sklepów internetowych oznacza to konieczność natychmiastowej aktualizacji, przeglądu logów, weryfikacji integralności systemu oraz oceny, czy środowisko nie zostało już skompromitowane.

Źródła

  1. Security Affairs — https://securityaffairs.com/193156/security/u-s-cisa-adds-mirasvit-full-page-cache-warmer-flaw-to-its-known-exploited-vulnerabilities-catalog.html
  2. CVE Record: CVE-2026-45247 — https://www.cve.org/CVERecord?id=CVE-2026-45247
  3. CISA Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  4. Sansec Research: Mirasvit CacheWarmer RCE — https://sansec.io/research/mirasvit-cachewarmer-rce
  5. Binding Operational Directive 22-01 — https://cyber.dhs.gov/bod/22-01/