技術的な説明
Magento 2 / Adobe Commerce用のMirasvit Full Page Cache Warmer拡張機能(1.11.12より前のすべてのバージョン)は、通常のストアフロントHTTPリクエストのCacheWarmerクッキーに含まれる攻撃者が制御するPHPオブジェクトを逆シリアル化します。悪用可能なガジェットチェーン(Magento環境では一般的)が存在する場合、これにより認証なしのリモートコード実行が可能になります。CISAは2026年6月3日に野生での悪用の証拠後、この脆弱性を既知の悪用される脆弱性カタログに追加し、連邦の修復期限を2026年6月6日に指定しました。Sansecは約6,000のMagentoストアが露出していると推定しています。
攻撃経路
悪意のあるシリアル化されたPHPオブジェクトを含む細工されたCacheWarmerクッキーを持つ任意のパブリックストアフロントページへの認証なしHTTP GETリクエスト。認証情報、ユーザーインタラクション、またはアドミンアクセスは不要です。
影響を受けるシステム
Magento 2 / Adobe Commerce用Mirasvit Full Page Cache Warmer、1.11.12より前のすべてのバージョン。拡張機能がインストールされているインターネット公開Magento 2ストアフロントに影響します。
緩和策
Mirasvit Full Page Cache Warmerをバージョン1.11.12以降にアップグレードしてください(パッチは2026年5月25日にリリース)。すぐにアップグレードできない場合は、拡張機能を一時的に無効にするか削除し、CacheWarmerクッキーをターゲットとするWAFルール経由でストアフロントアクセスを制限し、異常なクッキー値または予期しないサーバー側プロセス生成についてWebアプリケーションログを監視してください。連邦機関はBOD 22-01に従い2026年6月6日までに準拠する必要があります。