Penjelasan teknis
Ekstensi Mirasvit Full Page Cache Warmer untuk Magento 2 / Adobe Commerce (semua versi sebelum 1.11.12) mendeserialisasi objek PHP yang dikendalikan penyerang yang diberikan dalam cookie CacheWarmer pada permintaan HTTP storefront biasa. Ketika gadget chain yang dapat dieksploitasi hadir (tipikal di lingkungan Magento), ini memungkinkan eksekusi kode jarak jauh tanpa autentikasi. CISA menambahkan kerentanan ke katalog Known Exploited Vulnerabilities pada 3 Juni 2026 setelah bukti eksploitasi aktif di alam liar, menetapkan batas waktu remediasi federal 6 Juni 2026. Sansec memperkirakan sekitar 6.000 toko Magento terekspos.
Vektor serangan
Permintaan HTTP GET tanpa autentikasi ke halaman storefront publik apa pun dengan cookie CacheWarmer yang dibuat dengan cermat berisi objek PHP berseri berbahaya. Tidak ada kredensial, interaksi pengguna, atau akses admin yang diperlukan.
Sistem yang terdampak
Mirasvit Full Page Cache Warmer untuk Magento 2 / Adobe Commerce, semua versi sebelum 1.11.12. Mempengaruhi storefront Magento 2 yang terhubung ke internet dengan ekstensi terinstal.
Mitigasi
Upgrade Mirasvit Full Page Cache Warmer ke versi 1.11.12 atau lebih baru (patch dirilis 25 Mei 2026). Jika upgrade tidak dapat dilakukan segera, nonaktifkan atau hapus ekstensi sementara, batasi akses storefront melalui aturan WAF yang menargetkan cookie CacheWarmer, dan pantau log aplikasi web untuk nilai cookie yang tidak biasa atau spawning proses server-side yang tidak terduga. Agensi federal harus mematuhi pada 6 Juni 2026 sesuai BOD 22-01.