3 июня 2026 года Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло уязвимость CVE-2026-45247 в каталог Known Exploited Vulnerabilities (KEV), подтвердив факт её активной эксплуатации. Уязвимость затрагивает Mirasvit Full Page Cache Warmer — популярное расширение для кэширования страниц платформы Magento — и получила оценку 9.8 из 10 по шкале CVSS, что соответствует критическому уровню опасности. Проблема позволяет неаутентифицированному злоумышленнику выполнить произвольный PHP-код на сервере через специально сформированный cookie-файл. Всем владельцам магазинов на Magento с установленным расширением Mirasvit Cache Warmer необходимо немедленно обновиться до версии 1.11.12 или выше.
Механизм уязвимости
Согласно описанию CISA, CVE-2026-45247 представляет собой уязвимость десериализации недоверенных данных (CWE-502). Расширение Mirasvit Full Page Cache Warmer обрабатывает cookie с именем CacheWarmer, передаваемый в обычных запросах к витрине магазина. Часть значения этого cookie передаётся в нативную PHP-функцию unserialize() без какой-либо валидации или санитизации входных данных.
По данным исследователей из голландской компании Sansec, которые опубликовали технический анализ уязвимости, поскольку значение cookie полностью контролируется клиентом, атакующий может внедрить произвольные PHP-объекты — классическая атака типа PHP Object Injection. В сочетании с цепочками гаджетов (gadget chains), которые уже присутствуют в кодовой базе Magento и её зависимостях, инъекция объектов эскалируется до полноценного удалённого выполнения кода (RCE).
Ключевые характеристики уязвимости:
- CVE ID: CVE-2026-45247
- CVSS: 9.8 (критический)
- Затронутые версии: все версии Mirasvit Full Page Cache Warmer до 1.11.12
- Вектор атаки: сетевой, без аутентификации, через HTTP-запрос с вредоносным cookie
- Патч: по имеющимся данным, выпущен 25 мая 2026 года (версия 1.11.12)
Принципиально важно, что для эксплуатации не требуется ни аутентификация, ни административные привилегии — достаточно отправить любой запрос к витрине магазина с подготовленным cookie. Это делает уязвимость тривиально эксплуатируемой и крайне опасной для любого публично доступного магазина на Magento с установленным расширением.
Наблюдаемая активность эксплуатации
Компания Imperva (принадлежащая Thales) сообщила о фиксации реальных атак с использованием CVE-2026-45247. По данным компании, наблюдаемые полезные нагрузки содержали сериализованные PHP-объекты в кодировке Base64, предназначенные для запуска десериализации и выполнения кода через известные цепочки гаджетов. В частности, атакующие пытались вызвать функции system() и current() для выполнения произвольных команд на сервере.
Как отмечает Imperva, в ряде зафиксированных случаев злоумышленники использовали тестовые команды, направленные на подтверждение возможности выполнения кода. Это характерное поведение для фазы разведки: атакующие сначала выявляют уязвимые системы, а затем переходят к полноценной эксплуатации — внедрению веб-шеллов, краже данных платёжных карт или установке вредоносного ПО.
По данным Imperva, активность преимущественно направлена на игровые и бизнес-сайты, а наиболее атакуемыми регионами являются США, Великобритания, Франция и Австралия. Следует учитывать, что эти данные получены от одного поставщика средств защиты и могут отражать специфику его клиентской базы, а не полную картину атак. Атрибуция угрозы на данный момент отсутствует — кто стоит за эксплуатацией, неизвестно.
Масштаб потенциального воздействия
По оценке Sansec, около 6 000 интернет-магазинов используют расширения Mirasvit, хотя реальное число может быть значительно выше, поскольку сети доставки контента (CDN), такие как Cloudflare, маскируют установки. Стоит подчеркнуть, что это оценка одного исследовательского источника, и точные данные о масштабе распространения расширения отсутствуют.
Magento остаётся одной из ведущих платформ электронной коммерции, и её экосистема расширений традиционно является привлекательной мишенью для злоумышленников. Компрометация магазина на Magento через RCE открывает путь к широкому спектру атак: от кражи данных платёжных карт (атаки типа Magecart) до использования сервера как плацдарма для дальнейшего проникновения в инфраструктуру.
Рекомендации по обнаружению и защите
Федеральным гражданским органам исполнительной власти США предписано устранить уязвимость до 6 июня 2026 года. Однако учитывая критичность проблемы и подтверждённую активную эксплуатацию, немедленное обновление рекомендуется всем затронутым организациям без исключения.
Шаги по устранению:
- Обновите расширение Mirasvit Full Page Cache Warmer до версии 1.11.12 или выше.
- Если немедленное обновление невозможно — временно отключите расширение до применения патча.
- Проведите аудит логов веб-сервера на предмет запросов, содержащих cookie
CacheWarmerс подозрительным значением.
Индикаторы компрометации и обнаружение:
Sansec рекомендует проверять запросы к витрине магазина на наличие cookie CacheWarmer, значение которого содержит маркер CacheWarmer:, за которым следует строка в кодировке Base64. Сериализованные PHP-объекты в Base64 начинаются с характерных последовательностей Tz, Qz или YT. Таким образом, значение cookie, соответствующее паттерну CacheWarmer:(Tz|Qz|YT), является сильным индикатором попытки эксплуатации. Этот паттерн можно использовать в правилах WAF и системах мониторинга для блокировки и оповещения.
Внесение CVE-2026-45247 в каталог CISA KEV менее чем через десять дней после выхода патча подчёркивает скорость, с которой злоумышленники берут на вооружение критические уязвимости в компонентах электронной коммерции. Владельцам магазинов на Magento с расширением Mirasvit Cache Warmer следует рассматривать обновление до версии 1.11.12 как задачу с наивысшим приоритетом — каждый день задержки означает, что магазин остаётся открытым для неаутентифицированного выполнения произвольного кода.
