CISA thêm lỗ hổng RCE Magento CVE-2026-45247 đang bị khai thác vào danh mục KEV

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào thứ Tư đã thêm một lỗ hổng nghiêm trọng ảnh hưởng đến Mirasvit Cache Warmer, một tiện ích mở rộng cache toàn trang phổ biến cho Magento, vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), sau các báo cáo về việc khai thác tích cực trong thực tế. Lỗ hổng này, được theo dõi là CVE-2026-45247 (điểm CVSS: 9.8), là một trường hợp giải tuần tự hóa dữ liệu không đáng tin cậy có thể bị khai thác để thực thi mã PHP tùy ý trên máy chủ bị ảnh hưởng.
Magento Security Vulnerability

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) hôm thứ Tư đã thêm một lỗ hổng nghiêm trọng ảnh hưởng đến Mirasvit Cache Warmer, một tiện ích mở rộng cache toàn trang phổ biến của Magento, vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), sau các báo cáo về hoạt động khai thác tích cực trong thực tế.

Lỗ hổng này được theo dõi dưới mã CVE-2026-45247 (điểm CVSS: 9.8), là một lỗi giải tuần tự hóa dữ liệu không đáng tin cậy (deserialization of untrusted data) có thể bị khai thác để thực thi mã PHP tùy ý trên máy chủ bị ảnh hưởng.

"Mirasvit Full Page Cache Warmer chứa lỗ hổng giải tuần tự hóa dữ liệu không đáng tin cậy, có thể cho phép những kẻ tấn công không cần xác thực thực hiện thực thi mã từ xa (remote code execution) bằng cách cung cấp một đối tượng PHP được tuần tự hóa có mục đích xấu trong cookie CacheWarmer," CISA cho biết.

Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của tiện ích mở rộng trước phiên bản 1.11.12. Các bản vá lỗi đã được phát hành vào ngày 25 tháng 5 năm 2026.

Việc thêm CVE-2026-45247 vào danh mục KEV diễn ra vài ngày sau khi Sansec cho biết lỗ hổng PHP object injection có thể bị khai thác thông qua bất kỳ yêu cầu nào đến cửa hàng có mang theo cookie CacheWarmer được thiết lập đặc biệt. Sau đó, nó sẽ giải tuần tự hóa một phần giá trị cookie bằng hàm unserialize() gốc của PHP mà không yêu cầu bất kỳ quyền xác thực hoặc quản trị nào.

Cơ chế tấn công và mức độ ảnh hưởng

"Bởi vì giá trị đó đến trực tiếp từ phía khách hàng (client), kẻ tấn công có thể kiểm soát các đối tượng mà PHP tái cấu trúc," công ty an ninh mạng Hà Lan Sansec cho biết. "Đây là lỗi PHP object injection (CWE-502). Kết hợp với một gadget chain từ các lớp (classes) mà Magento và các phụ thuộc của nó đã cung cấp sẵn, lỗi object injection sẽ leo thang thành thực thi mã từ xa (remote code execution)."

Sansec cho biết họ đã xác định được khoảng 6.000 cửa hàng đang chạy các tiện ích mở rộng của Mirasvit, mặc dù con số thực tế có thể cao hơn do các mạng phân phối nội dung (CDN) như Cloudflare thường che giấu các cài đặt này.

Imperva, thuộc sở hữu của Thales, sau đó đã tiết lộ rằng họ quan sát thấy hoạt động tấn công tích cực cố gắng khai thác CVE-2026-45247 thông qua các payload đối tượng PHP tuần tự hóa được gửi qua các yêu cầu HTTP độc hại.

"Các payload quan sát được chứa các đối tượng tuần tự hóa mã hóa base64 được thiết kế để kích hoạt PHP Object Deserialization và đạt được thực thi mã từ xa thông qua các gadget chain thường bị lạm dụng," công ty cho biết. "Các payload cố gắng gọi các hàm như system()current() để thực thi các lệnh tùy ý trên máy chủ bên dưới. Trong một số trường hợp quan sát được, kẻ tấn công đã sử dụng các lệnh kiểm tra được thiết kế để xác nhận việc thực thi mã thành công."

Mục tiêu và khuyến nghị khắc phục

Hoạt động tấn công chủ yếu nhắm vào các trang web trò chơi và doanh nghiệp, trong đó Hoa Kỳ, Anh, Pháp và Úc là những quốc gia bị nhắm mục tiêu nhiều nhất. Hiện chưa rõ ai đứng sau các nỗ lực khai thác này, mặc dù mục tiêu cuối cùng dường như là đánh dấu các môi trường Magento dễ bị tổn thương và xác nhận khả năng thực thi mã từ xa.

Trước tình trạng khai thác tích cực, các cơ quan thuộc Federal Civilian Executive Branch (FCEB) đã được lệnh phải áp dụng các bản vá trước ngày 6 tháng 6 năm 2026. Để phát hiện các nỗ lực khai thác tiềm ẩn, chủ sở hữu trang web được khuyên nên kiểm tra các yêu cầu đến cửa hàng có mang theo cookie CacheWarmer mà giá trị chứa từ khóa "CacheWarmer:" theo sau là một chuỗi mã hóa Base64.

"Các đối tượng PHP tuần tự hóa mã hóa base64 thành các giá trị bắt đầu bằng Tz, Qz hoặc YT, vì vậy giá trị cookie CacheWarmer khớp với CacheWarmer:(Tz|Qz|YT) là một dấu hiệu mạnh mẽ của một nỗ lực khai thác," Sansec bổ sung thêm.