La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla crítica que afecta a la popular extensión de almacenamiento en caché de página completa de Magento, Mirasvit Cache Warmer, a su catálogo de vulnerabilidades explotadas conocidas (KEV) luego de informes de que ha sido explotada en la naturaleza.
La vulnerabilidad, identificada como CVE-2026-45247 (puntuación CVSS: 9,8), es un caso de deserialización de datos no confiables y puede explotarse para ejecutar código PHP arbitrario en un servidor afectado.
«Mirasvit Full Page Cache Warmer contiene una vulnerabilidad de deserialización de datos no confiables que podría permitir a un atacante no autenticado ejecutar código remoto proporcionando un objeto PHP serializado diseñado dentro de una cookie CacheWarmer», dijo CISA.
Este inconveniente afecta a todas las versiones de la extensión anteriores a la versión 1.11.12. El parche se lanzó el 25 de mayo de 2026.
La adición de CVE-2026-45247 al catálogo KEV se produce días después de que Sansec dijera que una vulnerabilidad de inyección de objetos PHP podría ser explotada por una solicitud de escaparate que contenga una cookie CacheWarmer diseñada, que luego deserializa parte del valor de la cookie usando la función nativa unserialize() de PHP, sin requerir autenticación ni privilegios de administrador.
«El valor se obtiene directamente del cliente, dando al atacante control sobre qué objetos reconstruye PHP», dijo la firma de seguridad holandesa. «Esto es la inyección de objetos PHP (CWE-502). Cuando se combina con el encadenamiento de gadgets de clases que Magento y sus dependencias ya proporcionan, la inyección de objetos escala a la ejecución remota de código».
Sansec dijo que ha identificado alrededor de 6.000 tiendas que ejecutan la extensión Mirasvit, pero el número exacto podría ser mayor dadas las redes de entrega de contenido (CDN) como las instalaciones de máscaras de Cloudflare.
Imperva, propiedad de Thales, reveló posteriormente que había observado actividad de ataque activo que intentaba explotar CVE-2026-45247 a través de cargas útiles de objetos PHP serializados entregados a través de solicitudes HTTP maliciosas.
«La carga útil observada contiene un objeto serializado codificado en base64 diseñado para desencadenar la deserialización de objetos PHP y permitir la ejecución remota de código a través de cadenas de dispositivos comúnmente explotados», dijo la compañía. «La carga útil intenta ejecutar comandos arbitrarios en el servidor subyacente llamando a funciones como system() y current(). En varios casos observados, los atacantes utilizaron comandos de prueba diseñados para verificar la ejecución exitosa del código».
Esta actividad identificó principalmente sitios de juegos y negocios, siendo Estados Unidos, Reino Unido, Francia y Australia los países más objetivo. Actualmente se desconoce quién está detrás del exploit, pero el objetivo final parece ser señalar entornos vulnerables de Magento y confirmar que es posible la ejecución remota de código.
En vista del abuso activo, se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las enmiendas antes del 6 de junio de 2026. Para detectar posibles vulnerabilidades, se recomienda a los propietarios de sitios que auditen las solicitudes de escaparates que contengan cookies CacheWarmer cuyo valor contenga el marcador «CacheWarmer:» seguido de una cadena codificada en Base64.
«Los objetos PHP serializados están codificados en Base64 con valores que comienzan con Tz, Qz o YT, por lo que un valor de cookie CacheWarmer que coincida con CacheWarmer:(Tz|Qz|YT) es un fuerte indicador de un intento de explotación», añadió Sansec.
Source link
