기술 설명
Magento 2 / Adobe Commerce용 Mirasvit Full Page Cache Warmer 확장(1.11.12 이전의 모든 버전)은 일반 상점 HTTP 요청에서 CacheWarmer 쿠키에 제공된 공격자 제어 PHP 개체를 역직렬화합니다. 악용 가능한 가젯 체인이 존재할 경우(Magento 환경에서 일반적), 미인증 원격 코드 실행을 허용합니다. CISA는 2026년 6월 3일에 야생에서의 적극적인 악용 증거 이후 이 취약점을 알려진 악용된 취약점 카탈로그에 추가했으며, 연방 완화 마감일을 2026년 6월 6일로 지정했습니다. Sansec는 약 6,000개의 Magento 상점이 노출되어 있다고 추정합니다.
공격 경로
악의적인 직렬화된 PHP 개체를 포함하는 정교한 CacheWarmer 쿠키를 사용한 모든 공개 상점 페이지에 대한 미인증 HTTP GET 요청. 자격 증명, 사용자 상호 작용 또는 관리자 액세스 불필요.
영향받는 시스템
Magento 2 / Adobe Commerce용 Mirasvit Full Page Cache Warmer, 1.11.12 이전의 모든 버전. 확장이 설치된 모든 인터넷 연결 Magento 2 상점에 영향을 줍니다.
완화 방안
Mirasvit Full Page Cache Warmer를 버전 1.11.12 이상으로 업그레이드하십시오(패치 릴리스: 2026년 5월 25일). 즉시 업그레이드가 불가능한 경우, 확장을 일시적으로 비활성화하거나 제거하고, CacheWarmer 쿠키를 대상으로 하는 WAF 규칙을 통해 상점 액세스를 제한하며, 비정상적인 쿠키 값이나 예기치 않은 서버 측 프로세스 생성에 대한 웹 애플리케이션 로그를 모니터링하십시오. 연방 기관은 BOD 22-01에 따라 2026년 6월 6일까지 준수해야 합니다.