Стефанія А. Автор Стефанія А.
Новини 4 Червня 2026 4 хв читання

Mirasvit RCE

Зламаний cookie CacheWarmer проходить до серверної мережі магазину, символізуючи ризик RCE CVE-2026-45247.

CISA додала CVE-2026-45247 до каталогу Known Exploited Vulnerabilities після повідомлень про експлуатацію Mirasvit Full Page Cache Warmer, розширення для Magento та Adobe Commerce. Практичний ризик прямий: спеціально створений cookie CacheWarmer може потрапити до логіки PHP-десеріалізації на сторінці магазину й на вразливій системі привести до віддаленого виконання коду.

Sansec опублікувала звіт 26 травня 2026 року та повідомила, що Mirasvit випустила версію 1.11.12 25 травня. CISA додала CVE до KEV 3 червня з кінцевим строком виправлення 6 червня для федеральних агенцій США. Власникам магазинів варто сприймати це як термінову перевірку експозиції, а не як звичайне оновлення розширення для продуктивності.

Кого це стосується

Вразливий компонент – Mirasvit Full Page Cache Warmer для Magento 2 до версії 1.11.12. Sansec зазначає, що розширення може входити до інших пакетів Mirasvit, тому адміністраторам слід перевірити Composer-пакети й статус модулів навіть тоді, коли Cache Warmer не встановлювали окремо.

Що перевіритиРизик і дія
Версію mirasvit/module-cache-warmerВерсії до 1.11.12 потрібно негайно оновити або прибрати, якщо модуль не потрібен.
Публічний доступ до магазинуШлях атаки не потребує автентифікації, тому будь-який доступний storefront із вразливим модулем перебуває під ризиком.
Запити з незвичними cookie CacheWarmerПеревірте access logs і WAF logs на надто довгі або схожі на серіалізовані значення cookie, помилки PHP, нові файли чи активність адміністраторів.
Стан після патчуПісля оновлення перегляньте змінені PHP-файли, невідомі admin-акаунти, cron jobs, скрипти платіжних сторінок і вихідні з’єднання.

Чому cookie став проблемою

Cache warmer зазвичай імітує стани відвідувачів, щоб магазин міг заздалегідь створити сторінки для різних валют, груп клієнтів або сесійних умов. Небезпечна частина в цьому випадку полягає в тому, що розширення обробляло дані cookie, контрольовані атакувальником, через PHP-функцію unserialize(). Це типовий сценарій object injection: PHP відновлює об’єкти з вхідних даних, а залежності Magento можуть дати gadget chain для виконання коду.

Це не просто помилка в адмін-панелі. Відвідувачу не потрібні логін, покупецький акаунт або доступ співробітника. Якщо вразливий код присутній і доступний, сам HTTP-запит може стати носієм експлойта.

Що робити власникам магазинів

  1. Оновіть Mirasvit Full Page Cache Warmer до 1.11.12 або новішої версії. Якщо розширення прийшло через пакет, оновіть пакет і після деплою перевірте фактичну версію module package.
  2. Тимчасово вимкніть або видаліть модуль, якщо патч не можна встановити одразу. Функція продуктивності не варта відкритого unauthenticated RCE.
  3. Перегляньте web logs і WAF logs на підозрілі CacheWarmer cookies: довгі encoded values, ознаки PHP-serialization, повторні 500 responses або запити, після яких з’явилися нові виконувані файли.
  4. Перевірте integrity файлів Magento/Adobe Commerce, невідомі admin accounts, cron jobs, checkout JavaScript, зміни на платіжних сторінках і нещодавно змінені PHP-файли.
  5. Змініть секрети, якщо компрометація можлива: паролі адміністраторів, API tokens, deployment keys, database credentials, payment integration keys та облікові дані, що зберігалися на вебсервері.

Раніше ми вже описували скімінг платіжних сторінок WooCommerce у FunnelKit-кампанії. Урок для ecommerce-сайтів схожий: після експлуатованої серверної вразливості патч закриває шлях входу, але не доводить, що сайт не встигли змінити до оновлення.

FAQ

Чи вже експлуатують CVE-2026-45247?

Так. CISA додала CVE-2026-45247 до каталогу Known Exploited Vulnerabilities 3 червня 2026 року, тобто експлуатацію вже спостерігали.

Чи вразливе саме ядро Magento?

Публічні джерела називають Mirasvit Full Page Cache Warmer для Magento 2, а не Magento core. У зоні ризику – магазини Magento та Adobe Commerce, де встановлено вразливе розширення.

Чи достатньо оновлення?

Оновлення закриває відомий вразливий шлях, але не доводить, що магазин не атакували раніше. Якщо модуль був доступний до патчу, перевірте логи та integrity файлів.

Джерела

  1. Sansec Forensics Team. “Critical vulnerability in Mirasvit Cache Warmer for Magento.” Sansec Threat Research, опубліковано 26 травня 2026 року, доступ 4 червня 2026 року. https://sansec.io/research/mirasvit-cache-warmer-object-injection
  2. Cybersecurity and Infrastructure Security Agency. “CISA Catalog of Known Exploited Vulnerabilities.” Catalog version 2026.06.03, released June 3, 2026, accessed June 4, 2026. https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json
  3. National Vulnerability Database. “CVE-2026-45247 Detail.” NIST NVD, доступ 4 червня 2026 року. https://nvd.nist.gov/vuln/detail/CVE-2026-45247
  4. Mirasvit. “Full Page Cache Warmer for Magento 2 – What’s New.” Changelog для mirasvit/module-cache-warmer, доступ 4 червня 2026 року. https://mirasvit.com/package/changelog/?package=mirasvit/module-cache-warmer
Стефанія А.
Автор Стефанія А.
Усі матеріали

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.