De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft woensdag een kritieke fout met betrekking tot Mirasvit Cache Warmer, een populaire Magento-cache-extensie voor volledige pagina’s, toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus, na berichten over actieve exploitatie in het wild.
De kwetsbaarheid, bijgehouden als CVE-2026-45247 (CVSS-score: 9,8), is een geval van deserialisatie van niet-vertrouwde gegevens die kunnen worden misbruikt om willekeurige PHP-code uit te voeren op een getroffen server.
“Mirasvit Full Page Cache Warmer bevat een deserialisatie van niet-vertrouwde gegevenskwetsbaarheid waardoor niet-geverifieerde aanvallers code op afstand kunnen uitvoeren door een vervaardigd geserialiseerd PHP-object in de CacheWarmer-cookie aan te bieden”, aldus CISA.
De tekortkoming heeft gevolgen voor alle versies van de extensie vóór versie 1.11.12. Patches voor de zijn uitgebracht op 25 mei 2026.
De toevoeging van CVE-2026-45247 aan de KEV-catalogus komt dagen nadat Sansec zei dat de kwetsbaarheid voor PHP-objectinjectie kan worden uitgebuit door middel van elk winkelverzoek met een vervaardigde CacheWarmer-cookie, die vervolgens een deel van de cookiewaarde deserialiseert met PHP’s eigen unserialize() -functie zonder dat enige authenticatie of beheerdersrechten vereist zijn.
“Omdat die waarde rechtstreeks van de client komt, heeft een aanvaller controle over de objecten die PHP reconstrueert”, aldus het Nederlandse beveiligingsbedrijf. “Dit is PHP-objectinjectie (CWE-502). Gecombineerd met een gadgetketen van klassen die Magento en zijn afhankelijkheden al verzenden, escaleert objectinjectie naar uitvoering van code op afstand.”
Sansec zei dat het ongeveer 6.000 winkels heeft geïdentificeerd die Mirasvit-extensies gebruiken, hoewel het exacte aantal waarschijnlijk hoger zal zijn gezien het feit dat Content Delivery Networks (CDN’s) zoals Cloudflare Mask worden geïnstalleerd.
Imperva, eigendom van Thales, heeft sindsdien bekendgemaakt dat het actieve aanvalsactiviteiten heeft waargenomen waarbij wordt geprobeerd CVE-2026-45247 te misbruiken via geserialiseerde PHP-objectpayloads die worden geleverd via kwaadaardige HTTP-verzoeken.
“Waargenomen payloads bevatten base64-gecodeerde geserialiseerde objecten die zijn ontworpen om PHP Object Deserialization te activeren en externe code-uitvoering te bewerkstelligen via vaak misbruikte gadgetketens”, aldus het bedrijf. “De payloads proberen functies zoals system() en current() aan te roepen om willekeurige opdrachten op de onderliggende server uit te voeren. In verschillende waargenomen gevallen gebruikten aanvallers testopdrachten die waren ontworpen om succesvolle code-uitvoering te valideren.”
De activiteit heeft zich voornamelijk gericht op gaming- en bedrijvensites, waarbij de VS, Groot-Brittannië, Frankrijk en Australië naar voren komen als de meest beoogde landen. Het is momenteel niet bekend wie er achter de exploitatie-inspanningen zit, hoewel het einddoel lijkt te zijn om kwetsbare Magento-omgevingen te markeren en te bevestigen dat uitvoering van externe code mogelijk is.
In het licht van actieve uitbuiting hebben agentschappen van de Federal Civilian Executive Branch (FCEB) de opdracht gekregen om de oplossingen vóór 6 juni 2026 toe te passen. Om potentiële exploitatie-inspanningen te detecteren, wordt site-eigenaren geadviseerd om te controleren op storefront-aanvragen die een CacheWarmer-cookie bevatten waarvan de waarde de markering “CacheWarmer:” bevat, gevolgd door een met Base64 gecodeerde tekenreeks.
“Geserialiseerde PHP-objecten coderen base64 naar waarden die beginnen met Tz, Qz of YT, dus een CacheWarmer-cookiewaarde die overeenkomt met CacheWarmer:(Tz|Qz|YT) is een sterke indicator van een exploitatiepoging”, voegde Sansec eraan toe.
