技术说明
Magento 2 / Adobe Commerce的Mirasvit全页面缓存预热器扩展(所有1.11.12之前的版本)反序列化在普通店面HTTP请求上的CacheWarmer cookie中提供的攻击者控制PHP对象。当可利用的小工具链存在时(在Magento环境中很常见),这允许未认证的远程代码执行。CISA在2026年6月3日发现实际在野利用证据后将该漏洞添加到其已知被利用漏洞目录中,指定了2026年6月6日的联邦补救截止日期。Sansec估计约有6,000个Magento商店暴露。
攻击途径
对任何公开店面页面的未认证HTTP GET请求,带有包含恶意序列化PHP对象的精心制作的CacheWarmer cookie。不需要凭证、用户交互或管理员访问。
受影响系统
Mirasvit全页面缓存预热器,用于Magento 2 / Adobe Commerce,所有1.11.12之前的版本。影响任何安装了该扩展的面向互联网的Magento 2店面。
缓解措施
将Mirasvit全页面缓存预热器升级到版本1.11.12或更高版本(补丁发布于2026年5月25日)。如果无法立即升级,请临时禁用或删除该扩展,通过针对CacheWarmer cookie的WAF规则限制店面访问,并监控Web应用程序日志中的异常cookie值或意外服务器端流程生成。联邦机构必须根据BOD 22-01在2026年6月6日前符合要求。