La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla crítica que afecta a Mirasvit Cache Warmer, una popular extensión de caché de página completa de Magento, a su catálogo de vulnerabilidades explotadas conocidas (KEV), luego de informes de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-45247 (Puntuación CVSS: 9,8), es un caso de deserialización de datos que no son de confianza y que podrían explotarse para ejecutar código PHP arbitrario en un servidor afectado.
“Mirasvit Full Page Cache Warmer contiene una vulnerabilidad de deserialización de datos no confiables que podría permitir a atacantes no autenticados lograr la ejecución remota de código al proporcionar un objeto PHP serializado diseñado en la cookie CacheWarmer”, dijo CISA.
La deficiencia afecta a todas las versiones de la extensión anteriores a la versión 1.11.12. Los parches para se lanzaron el 25 de mayo de 2026.
La adición de CVE-2026-45247 al catálogo KEV se produce días después de que Sansec dijera que la vulnerabilidad de inyección de objetos PHP podría explotarse mediante cualquier solicitud de escaparate que lleve una cookie CacheWarmer diseñada, que luego deserializa parte del valor de la cookie con la función unserialize() nativa de PHP sin requerir autenticación ni privilegios de administrador.
“Debido a que ese valor proviene directamente del cliente, un atacante controla los objetos que PHP reconstruye”, dijo la compañía de seguridad holandesa. “Esto es inyección de objetos PHP (CWE-502). Combinada con una cadena de gadgets de clases que Magento y sus dependencias ya incluyen, la inyección de objetos escala a la ejecución remota de código”.
Sansec dijo que identificó alrededor de 6.000 tiendas que ejecutan extensiones de Mirasvit, aunque es probable que el número exacto sea mayor dado que las redes de entrega de contenido (CDN) como las instalaciones de máscaras de Cloudflare.
Desde entonces, Imperva, propiedad de Thales, ha revelado que ha observado actividad de ataque activo que intenta explotar CVE-2026-45247 a través de cargas útiles de objetos PHP serializados entregados a través de solicitudes HTTP maliciosas.
“Las cargas útiles observadas contienen objetos serializados codificados en base64 diseñados para activar la deserialización de objetos PHP y lograr la ejecución remota de código a través de cadenas de dispositivos de los que comúnmente se abusa”, dijo la compañía. “Las cargas útiles intentan invocar funciones como system() y current() para ejecutar comandos arbitrarios en el servidor subyacente. En varios casos observados, los atacantes utilizaron comandos de prueba diseñados para validar la ejecución exitosa del código”.
La actividad se ha centrado principalmente en sitios de juegos y negocios, siendo Estados Unidos, el Reino Unido, Francia y Australia los países más objetivo. Actualmente no se sabe quién está detrás de los esfuerzos de explotación, aunque el objetivo final parece ser señalar entornos vulnerables de Magento y confirmar que la ejecución remota de código es posible.
A la luz de la explotación activa, se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen las correcciones antes del 6 de junio de 2026. Para detectar posibles esfuerzos de explotación, se recomienda a los propietarios de sitios que realicen auditorías para detectar solicitudes de escaparates que contengan una cookie CacheWarmer cuyo valor contenga el marcador “CacheWarmer:” seguido de una cadena codificada en Base64.
“Los objetos PHP serializados codifican en base64 a valores que comienzan con Tz, Qz o YT, por lo que un valor de cookie CacheWarmer que coincida con CacheWarmer:(Tz|Qz|YT) es un fuerte indicador de un intento de explotación”, agregó Sansec.
