技術的な説明
Magento 2 / Adobe Commerce 用 Mirasvit Full Page Cache Warmer エクステンション (1.11.12 より前のすべてのバージョン) は、通常のストアフロント HTTP リクエストの CacheWarmer クッキーで提供される攻撃者が制御する PHP オブジェクトを逆シリアル化します。悪用可能なガジェットチェーンが存在する場合 (Magento 環境では一般的)、これにより認証なしのリモートコード実行が可能になります。CISA は 2026年6月3日に実際の野生での悪用の証拠の後、この脆弱性を既知の悪用される脆弱性カタログに追加し、2026年6月6日の連邦修復期限を割り当てました。Sansec は約 6,000 の Magento ストアが危険にさらされていると推定しています。
攻撃経路
悪意のあるシリアル化された PHP オブジェクトを含む細工された CacheWarmer クッキーを使用した、任意の公開ストアフロントページへの認証なし HTTP GET リクエスト。認証情報、ユーザーインタラクション、またはアドミンアクセスは不要です。
影響を受けるシステム
Magento 2 / Adobe Commerce 用 Mirasvit Full Page Cache Warmer、1.11.12 より前のすべてのバージョン。エクステンションがインストールされている任意のインターネット接続可能な Magento 2 ストアフロントに影響します。
緩和策
Mirasvit Full Page Cache Warmer をバージョン 1.11.12 以降にアップグレードしてください (パッチは 2026年5月25日にリリース)。すぐにアップグレードできない場合は、エクステンションを一時的に無効にするか削除し、CacheWarmer クッキーを対象とする WAF ルール経由でストアフロントアクセスを制限し、異常なクッキー値または予期しないサーバー側プロセス生成について Web アプリケーションログを監視してください。連邦機関は BOD 22-01 に従い 2026年6月6日までに準拠する必要があります。