Penjelasan teknis
Ekstensi Mirasvit Full Page Cache Warmer untuk Magento 2 / Adobe Commerce (semua versi sebelum 1.11.12) melakukan deserialisasi objek PHP yang dikontrol penyerang yang disediakan dalam cookie CacheWarmer pada permintaan HTTP storefront biasa. Ketika gadget chain yang dapat dieksploitasi ada (umum di lingkungan Magento), ini memungkinkan eksekusi kode jarak jauh tanpa autentikasi. CISA menambahkan kerentanan ke katalog Known Exploited Vulnerabilities pada 3 Juni 2026 setelah bukti eksploitasi aktif di alam liar, menetapkan tenggat waktu remediasi federal 6 Juni 2026. Sansec memperkirakan sekitar 6.000 toko Magento terpapar.
Vektor serangan
Permintaan HTTP GET tanpa autentikasi ke halaman storefront publik apa pun dengan cookie CacheWarmer yang dirancang berisi objek PHP berseri berbahaya. Tidak ada kredensial, interaksi pengguna, atau akses admin yang diperlukan.
Sistem yang terdampak
Mirasvit Full Page Cache Warmer untuk Magento 2 / Adobe Commerce, semua versi sebelum 1.11.12. Memengaruhi storefront Magento 2 yang terhubung ke internet dengan ekstensi terinstal.
Mitigasi
Tingkatkan Mirasvit Full Page Cache Warmer ke versi 1.11.12 atau lebih baru (patch dirilis 25 Mei 2026). Jika peningkatan tidak mungkin dilakukan segera, nonaktifkan atau hapus ekstensi secara sementara, batasi akses storefront melalui aturan WAF yang menargetkan cookie CacheWarmer, dan pantau log aplikasi web untuk nilai cookie yang tidak biasa atau pemijahan proses server yang tidak terduga. Agensi federal harus mematuhi pada 6 Juni 2026 sesuai BOD 22-01.