返回
快讯

CISA将Magento RCE漏洞CVE-2026-45247列入KEV

CISA已将影响Mirasvit Cache Warmer的严重漏洞CVE-2026-45247列入KEV目录,原因是发现其在野外遭到主动利用。该问题影响1.11.12之前的全部版本,可借助构造的CacheWarmer cookie触发远程代码执行。建议尽快安装5月25日发布的补丁,并检查带有可疑Base64内容的请求。

CVE-2026-45247

美国网络安全与基础设施安全局(CISA)周三将一个影响 Mirasvit Cache Warmer 的严重缺陷加入其已知被利用漏洞(Known Exploited Vulnerabilities,KEV)目录。Mirasvit Cache Warmer 是一款流行的 Magento 全页缓存扩展。此举此前有报告称该漏洞已在野外被主动利用。

该漏洞编号为 CVE-2026-45247(CVSS 评分:9.8),属于对不受信任数据进行反序列化的问题,可能被利用在受影响服务器上执行任意 PHP 代码。

CISA 表示:“Mirasvit Full Page Cache Warmer contains a deserialization of untrusted data vulnerability that could allow unauthenticated attackers to achieve remote code execution by supplying a crafted serialized PHP object in the CacheWarmer cookie,” CISA said.

这一缺陷影响该扩展 1.11.12 之前的所有版本。相关补丁已于 2026 年 5 月 25 日发布。

CVE-2026-45247 被加入 KEV 目录,距 Sansec 说明该 PHP 对象注入漏洞可通过任何携带伪造 CacheWarmer cookie 的 storefront 请求进行利用,仅需 PHP 原生 unserialize() 函数对 cookie 值的一部分进行反序列化,无需任何身份验证或管理员权限,已过去数日。

这家荷兰安全公司表示:“Because that value comes straight from the client, an attacker controls the objects PHP reconstructs,” said the Dutch security company. “This is PHP object injection (CWE-502). Combined with a gadget chain from classes that Magento and its dependencies already ship, object injection escalates to remote code execution.”

Sansec 表示,其识别到大约 6,000 个运行 Mirasvit 扩展的商店,不过考虑到 Cloudflare 等内容分发网络(CDN)会掩盖安装情况,实际数量很可能更高。

随后,Thales 旗下 Imperva 透露,其已观察到通过恶意 HTTP 请求投递序列化 PHP 对象 payload、试图利用 CVE-2026-45247 的活跃攻击活动。

该公司表示:“Observed payloads contain base64-encoded serialized objects designed to trigger PHP Object Deserialization and achieve remote code execution through commonly abused gadget chains,” the company said. “The payloads attempt to invoke functions such as system() and current() to execute arbitrary commands on the underlying server. In several observed cases, attackers used test commands designed to validate successful code execution.”

这类活动主要针对游戏和商业网站,美国、英国、法国和澳大利亚是最常被攻击的国家。目前尚不清楚利用行为背后的攻击者是谁,但其最终目的似乎是标记存在漏洞的 Magento 环境,并确认是否能够实现远程代码执行。

鉴于该漏洞已被主动利用,联邦民事行政部门(FCEB)机构已被要求在 2026 年 6 月 6 日前完成修复。为检测潜在利用行为,网站所有者建议审查携带 CacheWarmer cookie 的 storefront 请求,并检查其值是否包含“CacheWarmer:”标记,后跟 Base64 编码字符串。

Sansec 进一步指出:“Serialized PHP objects base64-encode to values starting with Tz, Qz or YT, so a CacheWarmer cookie value matching CacheWarmer:(Tz|Qz|YT) is a strong indicator of an exploitation attempt,” Sansec added.