CISA advierte sobre la vulnerabilidad crítica RCE en Magento (CVE-2026-45247)
Publicado el
Importante vulnerabilidad en Magento
La Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) ha añadido una vulnerabilidad crítica que afecta a Mirasvit Cache Warmer, una popular extensión de caché de página completa para Magento, a su catálogo de Vulnerabilidades Conocidas Explotadas (KEV). Esta inclusión se produce tras recibir informes de explotación activa en entornos reales.
La vulnerabilidad, identificada como CVE-2026-45247 y con un puntaje CVSS de 9.8, se relaciona con la deserialización de datos no confiables, lo que permite a atacantes ejecutar código PHP arbitrario en un servidor vulnerable. Según CISA, "Mirasvit Full Page Cache Warmer contiene una vulnerabilidad de deserialización de datos no confiables que podría permitir a atacantes no autenticados lograr la ejecución remota de código al suministrar un objeto PHP serializado malicioso en la cookie CacheWarmer".
Impacto de la vulnerabilidad
Todas las versiones de la extensión anteriores a la 1.11.12 son susceptibles a esta falla. Los parches fueron lanzados el 25 de mayo de 2026. La inclusión de CVE-2026-45247 en el catálogo KEV se produce pocos días después de que Sansec informara sobre la posibilidad de explotación de esta vulnerabilidad mediante cualquier solicitud de tienda que contenga una cookie CacheWarmer manipulada, que luego deserializa parte del valor de la cookie utilizando la función nativa unserialize() de PHP, sin requerir autenticación ni privilegios de administrador.
La empresa de seguridad holandesa Sansec indicó que aproximadamente 6,000 tiendas están utilizando extensiones de Mirasvit, aunque el número real podría ser mayor debido a que redes de entrega de contenido (CDNs) como Cloudflare ocultan las instalaciones.
Actividad de ataque observada
Por su parte, Imperva, propiedad de Thales, ha reportado actividad de ataque activa intentando explotar CVE-2026-45247 a través de cargas útiles de objetos PHP serializados entregadas mediante solicitudes HTTP maliciosas. "Las cargas útiles observadas contienen objetos serializados codificados en base64 diseñados para activar la Deserialización de Objetos PHP y lograr la ejecución remota de código a través de cadenas de gadgets comúnmente abusadas", explicó la compañía.
Los payloads intentan invocar funciones como system() y current() para ejecutar comandos arbitrarios en el servidor subyacente. En varios casos observados, los atacantes utilizaron comandos de prueba para validar la correcta ejecución del código.
Objetivos de los ataques
La actividad de ataque se ha centrado principalmente en sitios de juegos y negocios, siendo los EE. UU., el Reino Unido, Francia y Australia los países más atacados. Actualmente, no se conoce la identidad de los responsables de estos intentos de explotación, aunque el objetivo parece ser identificar entornos Magento vulnerables y confirmar que la ejecución remota de código es viable.
Recomendaciones de mitigación
Ante la explotación activa de esta vulnerabilidad, se ha ordenado a las agencias de la Federal Civilian Executive Branch (FCEB) aplicar las correcciones antes del 6 de junio de 2026. Para detectar posibles intentos de explotación, se aconseja a los propietarios de sitios auditar las solicitudes de tienda que contengan una cookie CacheWarmer cuyo valor incluya el marcador "CacheWarmer:" seguido de una cadena codificada en Base64.
Sansec ha añadido que "los objetos PHP serializados codificados en base64 comienzan con Tz, Qz o YT, por lo que un valor de cookie CacheWarmer que coincida con CacheWarmer:(Tz|Qz|YT) es un fuerte indicador de un intento de explotación".