3 червня 2026 року Агентство з кібербезпеки та безпеки інфраструктури США (CISA) внесло вразливість CVE-2026-45247 до каталогу Known Exploited Vulnerabilities (KEV), підтвердивши факт її активної експлуатації. Вразливість стосується Mirasvit Full Page Cache Warmer — популярного розширення для кешування сторінок платформи Magento — і отримала оцінку 9.8 із 10 за шкалою CVSS, що відповідає критичному рівню небезпеки. Проблема дає змогу неавтентифікованому зловмиснику виконати довільний PHP-код на сервері через спеціально сформований cookie-файл. Усі власники інтернет-магазинів на Magento з установленим розширенням Mirasvit Cache Warmer мають негайно оновитися до версії 1.11.12 або вище.
Механізм вразливості
Відповідно до опису CISA, CVE-2026-45247 є вразливістю десеріалізації недовірених даних (CWE-502). Розширення Mirasvit Full Page Cache Warmer обробляє cookie з назвою CacheWarmer, що передається в звичайних запитах до вітрини крамниці. Частина значення цього cookie передається до нативної PHP-функції unserialize() без жодної валідації чи санітизації вхідних даних.
За даними дослідників із нідерландської компанії Sansec, які опублікували технічний аналіз вразливості, оскільки значення cookie повністю контролюється клієнтом, атакувальний може впровадити довільні PHP-об’єкти — класична атака типу PHP Object Injection. У поєднанні з ланцюжками гаджетів (gadget chains), які вже присутні в кодовій базі Magento та її залежностях, ін’єкція об’єктів ескалується до повноцінного віддаленого виконання коду (RCE).
Ключові характеристики вразливості:
- CVE ID: CVE-2026-45247
- CVSS: 9.8 (критичний)
- Уражені версії: усі версії Mirasvit Full Page Cache Warmer до 1.11.12
- Вектор атаки: мережевий, без автентифікації, через HTTP-запит зі зловмисним cookie
- Патч: за наявними даними, випущений 25 травня 2026 року (версія 1.11.12)
Принципово важливо, що для експлуатації не потрібні ні автентифікація, ні адміністративні привілеї — достатньо надіслати будь-який запит до вітрини крамниці з підготовленим cookie. Це робить вразливість тривіально експлуатованою й украй небезпечною для будь-якого публічно доступного інтернет-магазину на Magento з установленим розширенням.
Спостережувана активність експлуатації
Компанія Imperva (яка належить Thales) повідомила про фіксацію реальних атак із використанням CVE-2026-45247. За даними компанії, спостережувані корисні навантаження містили серіалізовані PHP-об’єкти в кодуванні Base64, призначені для запуску десеріалізації та виконання коду через відомі ланцюжки гаджетів. Зокрема, атакувальні намагалися викликати функції system() і current() для виконання довільних команд на сервері.
Як зазначає Imperva, у низці зафіксованих випадків зловмисники використовували тестові команди, спрямовані на підтвердження можливості виконання коду. Це характерна поведінка для фази розвідки: атакувальні спершу виявляють уразливі системи, а вже потім переходять до повноцінної експлуатації — впровадження вебшелів, викрадення даних платіжних карток або встановлення зловмисного програмного забезпечення.
За даними Imperva, активність переважно спрямована на ігрові та бізнес-сайти, а найбільш атакованими регіонами є США, Велика Британія, Франція та Австралія. Варто враховувати, що ці дані отримані від одного постачальника засобів захисту й можуть відображати специфіку його клієнтської бази, а не повну картину атак. Атрибуція загрози на цей момент відсутня — хто стоїть за експлуатацією, невідомо.
Масштаб потенційного впливу
За оцінкою Sansec, близько 6 000 інтернет-магазинів використовують розширення Mirasvit, хоча реальна кількість може бути значно вищою, оскільки мережі доставки контенту (CDN), такі як Cloudflare, маскують інсталяції. Варто наголосити, що це оцінка одного дослідницького джерела, і точні дані щодо масштабу поширення розширення відсутні.
Magento залишається однією з провідних платформ електронної комерції, а її екосистема розширень традиційно є привабливою мішенню для зловмисників. Компрометація інтернет-магазину на Magento через RCE відкриває шлях до широкого спектра атак: від викрадення даних платіжних карток (атаки типу Magecart) до використання сервера як плацдарму для подальшого проникнення в інфраструктуру.
Рекомендації щодо виявлення та захисту
Федеральним цивільним органам виконавчої влади США приписано усунути вразливість до 6 червня 2026 року. Однак, зважаючи на критичність проблеми та підтверджену активну експлуатацію, негайне оновлення рекомендується всім ураженим організаціям без винятку.
Кроки з усунення:
- Оновіть розширення Mirasvit Full Page Cache Warmer до версії 1.11.12 або вище.
- Якщо негайне оновлення неможливе — тимчасово вимкніть розширення до застосування патча.
- Проведіть аудит журналів вебсервера на предмет запитів, що містять cookie
CacheWarmerіз підозрілим значенням.
Індикатори компрометації та виявлення:
Sansec рекомендує перевіряти запити до вітрини крамниці на наявність cookie CacheWarmer, значення якого містить маркер CacheWarmer:, після якого йде рядок у кодуванні Base64. Серіалізовані PHP-об’єкти в Base64 починаються з характерних послідовностей Tz, Qz або YT. Таким чином, значення cookie, що відповідає патерну CacheWarmer:(Tz|Qz|YT), є потужним індикатором спроби експлуатації. Цей патерн можна використовувати в правилах WAF і системах моніторингу для блокування та сповіщення.
Додавання CVE-2026-45247 до каталогу CISA KEV менш ніж за десять днів після виходу патча підкреслює швидкість, із якою зловмисники беруть на озброєння критичні вразливості в компонентах електронної комерції. Власникам інтернет-магазинів на Magento з розширенням Mirasvit Cache Warmer варто розглядати оновлення до версії 1.11.12 як завдання найвищого пріоритету — кожен день затримки означає, що крамниця залишається відкритою для неавтентифікованого виконання довільного коду.
