Magento 擴充外掛漏洞入 KEV 目錄，逾 6,000 家電商恐受影響

美國網路安全暨基礎設施安全局（CISA）將影響 Magento 快取擴充套件 Mirasvit Cache Warmer 的重大漏洞 CVE-2026-45247 納入已知遭利用漏洞（KEV）目錄。多份報告指出，該漏洞已有遭主動利用的跡象。

CVE-2026-45247 的 CVSS 評分為 9.8，屬於不受信任資料反序列化（deserialization of untrusted data）漏洞，影響 1.11.12 之前的所有版本。官方已於 2026 年 5 月 25 日發布修補程式，建議使用該擴充套件的網站儘速更新。

漏洞原理與利用方式

荷蘭資安公司 Sansec 說明，漏洞源自 Magento storefront 對 CacheWarmer Cookie 的處理邏輯：伺服器收到含惡意 CacheWarmer Cookie 的請求後，會直接使用 PHP 原生的 unserialize() 函式，對 Cookie 值中的部分內容進行反序列化，且不需要任何身分驗證或管理員權限。由於該值直接來自用戶端，攻擊者可完整控制 PHP 建立的物件，進而形成 PHP 物件注入（CWE-502）。再結合 Magento 及其相依套件中既有的串鏈利用元件（gadget chain），物件注入可進一步升級為遠端程式碼執行（RCE）。

CISA 表示，未經驗證的攻擊者可在 CacheWarmer Cookie 中提供精心構造的序列化 PHP 物件，藉此在受影響伺服器上執行任意 PHP 程式碼。

已觀察到主動攻擊活動

Thales 旗下 Imperva 表示，已觀察到攻擊者透過惡意 HTTP 請求傳送序列化 PHP 物件酬載、嘗試利用此漏洞的主動攻擊活動。觀測到的酬載包含以 Base64 編碼的序列化物件，目的在觸發 PHP 物件反序列化，並透過常見的串鏈利用元件達成遠端程式碼執行。這些酬載嘗試呼叫 system() 與 current() 等函式，以在底層伺服器執行任意指令；在部分案例中，攻擊者也會使用測試型指令，以確認程式碼執行是否成功。

攻擊活動主要鎖定遊戲與商業類網站，美國、英國、法國與澳洲為最主要的受害地區。目前尚不清楚攻擊者身分，但其目的似乎是標記存在漏洞的 Magento 環境，並確認遠端程式碼執行的可行性。

Sansec 指出，目前可識別約 6,000 家使用 Mirasvit 擴充套件的商店；但由於 Cloudflare 等內容傳遞網路（CDN）會遮蔽實際安裝數量，真實數字可能更高。

修補與偵測建議

CISA 要求聯邦文職行政機構（FCEB）在 2026 年 6 月 6 日前完成修補。所有使用 Mirasvit Cache Warmer 的網站管理員應立即升級至 1.11.12 或更新版本。

在偵測潛在利用嘗試方面，Sansec 建議稽核 storefront 請求紀錄，檢查是否存在 CacheWarmer Cookie 值以「CacheWarmer:」開頭、後接 Base64 編碼字串的請求。序列化 PHP 物件的 Base64 編碼值通常以 Tz、Qz 或 YT 開頭；若 Cookie 值符合 CacheWarmer:(Tz|Qz|YT) 模式，可視為高度疑似的利用嘗試指標。

本文轉載自 TheHackerNews。