Falha permite execução remota sem login
A CISA adicionou a vulnerabilidade CVE-2026-45247, com CVSS 9.8, ao seu catálogo de vulnerabilidades exploradas (KEV) após confirmação de ataques ativos contra lojas Magento. A falha reside na extensão Mirasvit Cache Warmer, amplamente usada para cache de páginas inteiras, e permite que atacantes não autenticados executem código arbitrário no servidor ao injetar objetos PHP serializados via cookie CacheWarmer. A correção (versão 1.11.12) foi lançada em 25 de maio de 2026.
Mecanismo de exploração do CVE-2026-45247
O Mirasvit Cache Warmer desserializa o valor do cookie CacheWarmer usando a função nativa unserialize() do PHP sem sanitização. Como o valor vem diretamente do cliente, um atacante controla os objetos que o PHP reconstrói — o que caracteriza injeção de objetos PHP (CWE-502). Combinada com gadget chains presentes nas dependências do próprio Magento, essa injeção escala para execução remota de código.
Os payloads observados em explorações reais contêm objetos serializados codificados em base64, projetados para acionar system() e current(), permitindo execução de comandos Unix no servidor. A pesquisa da Sansec identificou que aproximadamente 6 mil lojas utilizam extensões da Mirasvit, embora o número real seja provavelmente maior devido a mascaramento por CDNs como Cloudflare.
Como detectar tentativas de exploração
Admins devem auditar logs de storefront buscando requisições que contenham o cookie CacheWarmer. Objetos PHP serializados codificados em base64 iniciam com os caracteres Tz, Qz ou YT. Portanto, qualquer requisição cujo cookie corresponda ao padrão CacheWarmer:(Tz|Qz|YT) é indicador forte de exploração ativa.
| Detalhe | Valor |
|---|---|
| CVE | CVE-2026-45247 |
| CVSS | 9.8 (Crítico) |
| Tipo | Injeção de objetos PHP (CWE-502) |
| Autenticação | Não requerida |
| Versões afetadas | Todas anteriores a 1.11.12 |
| Correção | Mirasvit Cache Warmer 1.11.12 |
| Prazo CISA (FCEB) | 6 de junho de 2026 |
Setores e escala dos ataques
Os ataques visam principalmente lojas de jogos e sites comerciais nos Estados Unidos, Reino Unido, França e Austrália. O objetivo dos atacantes é confirmar capacidade de RCE em ambientes Magento vulneráveis, o que abre caminho para instalação de webshells, roubo de dados de clientes e redirecionamento de pagamentos. A história de vulnerabilidades em extensões do Magento mostra que plugins de terceiros são frequentemente o elo mais fraco em lojas virtuais.
O que administradores devem fazer
- Atualize imediatamente para Mirasvit Cache Warmer versão 1.11.12 ou superior. A correção remove o uso de
unserialize()não sanitizado. - Revise logs de acesso do último mês buscando o padrão de cookie
CacheWarmer:(Tz|Qz|YT)para identificar se o servidor já foi alvo de exploração. - Implemente WAF com regras específicas para bloquear cookies com payloads serializados e solicitações anômalas ao endpoint de cache warmer.
- Restrinja permissões do servidor web para mitigar o impacto caso outras vulnerabilidades de desserialização sejam descobertas no futuro.