Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило новую уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV). Речь идет о проблеме CVE-2026-45247, которая затрагивает плагин Mirasvit Full Page Cache Warmer для платформы электронной коммерции Magento 2. Наличие записи в KEV означает, что злоумышленники уже активно используют эту брешь в реальных атаках. Поэтому всем администраторам интернет-магазинов на базе Magento следует немедленно принять меры.
Уязвимость CVE-2026-45247
Уязвимость получила максимальную оценку критичности по шкале CVSS (система оценки тяжести уязвимостей) - 9,8 балла из 10. Она относится к категории CWE-502 (десериализация недоверенных данных). Причина кроется в некорректной обработке входных данных: плагин версий ниже 1.11.12 вызывает встроенную функцию PHP "unserialize()" без какой-либо проверки данных, получаемых из Cookie-файла с именем "CacheWarmer". Атакующий может отправить на сервер специально сформированный сериализованный объект PHP, который при восстановлении запускает цепочку так называемых "гаджетов" - последовательность вызовов методов, присутствующих в Magento и его зависимостях. В итоге это позволяет выполнить произвольный код на сервере (PHP-инъекция объектов).
Любой неаутентифицированный пользователь, то есть даже неавторизованный посетитель сайта, способен удаленно выполнить вредоносные команды на сервере интернет-магазина. Ему не нужны учетные данные администратора. Единственное условие - жертва должна использовать уязвимую версию плагина Mirasvit Full Page Cache Warmer для Magento 2. Атакующий может через единственный HTTP-запрос, содержащий модифицированный Cookie, получить полный контроль над сервером: установить бэкдор (скрытый доступ), похитить базы данных с персональными данными клиентов (включая платежную информацию), изменить содержимое сайта или использовать сервер в качестве звена для дальнейших атак.
Важно подчеркнуть, что уязвимость не является новой для сообщества специалистов по информационной безопасности. Однако теперь CISA официально подтвердила, что эксплуатация происходит в дикой природе. Это поднимает уровень угрозы: разведка злоумышленников может быстро выявить необновленные магазины и применить готовый эксплойт. Учитывая популярность Magento 2 среди среднего и крупного бизнеса, последствия могут быть масштабными. Компрометация сайта электронной коммерции ведет не только к финансовым потерям из-за простоя, но и к утечке конфиденциальных данных, репутационному ущербу и возможным санкциям со стороны регуляторов.
С точки зрения экспертизы, данная атака использует классическую технику десериализации вредоносных данных. Многие старые версии PHP-приложений подвержены подобным проблемам, если разработчики не ограничивают вызов "unserialize()" только для доверенных данных. В случае плагина Mirasvit разработчики уже выпустили исправление в версии 1.11.12. Метод эксплуатации типичен: через Cookie передается сериализованная строка, содержащая полезную нагрузку (payload). Внутри этой строки закодированы объекты, которые при восстановлении инициируют вызовы функций, приводящих к выполнению команд. Цепочки гаджетов - это наборы существующих классов Magento и его библиотек, которые можно использовать для достижения произвольного выполнения кода без внедрения дополнительных файлов.
Для защиты от подобных атак специалистам по безопасности необходимо немедленно обновить плагин Mirasvit Full Page Cache Warmer до версии 1.11.12 или выше. Если обновление по каким-то причинам невозможно, следует временно отключить плагин до его обновления. Рекомендуется также проверить веб-сервер на предмет попыток эксплуатации: в логах доступа можно искать необычные значения Cookie "CacheWarmer", содержащие длинные строки с символами, типичными для сериализованных данных PHP. Кроме того, полезно внедрить общие меры защиты от десериализации: использовать промежуточное ПО для фильтрации запросов, отключать неиспользуемые классы в конфигурации, а также применять веб-брандмауэр (WAF) с правилами, блокирующими подозрительные сериализованные объекты.
Добавление этой уязвимости в каталог CISA KEV - сигнал для всех, кто использует Magento 2. Даже если ваш магазин уже обновлен до последней версии плагина, стоит провести аудит на наличие других уязвимостей в аналогичных компонентах. Атаки такого типа нередко становятся начальным вектором для APT-группировок (групп постоянной целевой угрозы) при взломе инфраструктуры компаний. Поэтому реагировать нужно незамедлительно.
CVE-2026-45247 - это не просто очередная ошибка кода, а зрелая угроза, которая уже используется в атаках. Обновление плагина - единственный надежный способ устранить опасность. Пренебрежение этим шагом может привести к полной компрометации сервера и потере данных клиентов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-45247
- https://sansec.io/research/mirasvit-cache-warmer-object-injection
- https://mirasvit.com/package/changelog/?package=mirasvit/module-cache-warmer
- https://www.cisa.gov/news-events/alerts/2026/06/03/cisa-adds-one-known-exploited-vulnerability-catalog
