A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou, na quarta-feira, uma falha crítica que afeta o Mirasvit Cache Warmer, uma popular extensão de cache de página inteira para Magento, ao seu catálogo Known Exploited Vulnerabilities (KEV), após relatos de exploração ativa em ambiente real.
A vulnerabilidade, identificada como
CVE-2026-45247
e com pontuação CVSS de 9,8, é um caso de desserialização de dados não confiáveis que pode ser explorado para executar código PHP arbitrário em um servidor afetado.
“O Mirasvit Full Page Cache Warmer contém uma vulnerabilidade de desserialização de dados não confiáveis que pode permitir que atacantes sem autenticação obtenham execução remota de código ao fornecer um objeto PHP serializado especialmente criado no cookie CacheWarmer”, informou a CISA.
A falha afeta todas as versões da extensão anteriores à versão 1.11.12.
Os patches foram lançados em 25/05/2026.
A inclusão de
CVE-2026-45247
no catálogo KEV ocorre dias depois de a Sansec afirmar que a vulnerabilidade de injeção de objetos PHP poderia ser explorada por meio de qualquer requisição ao site com um cookie CacheWarmer malicioso.
Nesse cenário, parte do valor do cookie é desserializada pela função nativa unserialize() do PHP, sem necessidade de autenticação ou privilégios administrativos.
“Como esse valor vem diretamente do cliente, o atacante controla os objetos que o PHP reconstrói”, disse a empresa holandesa de segurança.
“Isso é injeção de objetos PHP (CWE-502).
Quando combinada com uma cadeia de gadgets formada por classes que o Magento e suas dependências já incluem, a injeção de objetos evolui para execução remota de código.”
A Sansec afirmou ter identificado cerca de 6.000 lojas executando extensões da Mirasvit, embora o número real provavelmente seja maior, já que redes de distribuição de conteúdo, como a Cloudflare, podem ocultar instalações.
A Imperva, da Thales, informou depois ter observado atividade de ataque ativa tentando explorar a
CVE-2026-45247
por meio de payloads de objetos PHP serializados enviados em requisições HTTP maliciosas.
“Os payloads observados contêm objetos serializados codificados em Base64, projetados para acionar a desserialização de objetos PHP e obter execução remota de código por meio de cadeias de gadgets comumente abusadas”, disse a empresa.
“Os payloads tentam invocar funções como system() e current() para executar comandos arbitrários no servidor subjacente.
Em vários casos observados, os atacantes usaram comandos de teste para verificar se a execução de código foi bem-sucedida.”
A atividade tem mirado principalmente sites de jogos e de negócios, com Estados Unidos, Reino Unido, França e Austrália entre os países mais atingidos.
Até o momento, não se sabe quem está por trás das tentativas de exploração, embora o objetivo final pareça ser identificar ambientes Magento vulneráveis e confirmar se a execução remota de código é possível.
Diante da exploração ativa, as agências do Federal Civilian Executive Branch (FCEB) foram orientadas a aplicar as correções até 06/06/2026.
Para detectar possíveis tentativas de exploração, os responsáveis pelos sites devem auditar requisições ao ambiente de loja que tragam um cookie CacheWarmer cujo valor contenha o marcador “CacheWarmer:” seguido de uma string codificada em Base64.
“Objetos PHP serializados codificados em Base64 começam com valores como Tz, Qz ou YT, então um valor de cookie CacheWarmer que corresponda a CacheWarmer:(Tz|Qz|YT) é um forte indicativo de tentativa de exploração”, acrescentou a Sansec.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...