US CISA ajoute une faute de cache full page Mirasvit à ses vulnérabilités connues exploité
Le Bureau du Cyberespace et de la Sécurité Infrastructures (CISA) a récemment ajouté une nouvelle faille vulnérable à Mirasvit Full Page Cache Warmer dans sa liste des vulnérabilités connues exploitables. Cette faille, notée CVE-2026-45247, est liée au CVSS ver 4.0 et atteint un score de 9.3.
La faille exploite une injection de données via l'universel CacheWarmer cookie, qui est traité par un appel d'administration non sécurisé à PHP’s unserialize(). Les attaquants peuvent en conséquence exécuter du code malveillant, ce qui peut conduire à la récupération totale de contrôle sur l’ordinateur affecté. Le problème est particulièrement grave pour Magento 2, car il permet aux attaquants d'exploiter une chaîne de gads présentent dans Magento et ses dépendances.
Les experts ont identifié cette faille chez Mirasvit Cache Warmer, un plugin populaire pour le cache Full Page de Magento. Le communiqué explique que l’utilisation d’un seul cookie conçu sur n’importe quelle page storefront peut engendrer des attaques potentielles à la remote code execution.
Les chercheurs ont estimé qu’une centaine de magasins Magento seraient atteints par cette faille. CISA a déclaré que les tentatives d'exploitation peuvent être identifiées en recherchant une valeur CacheWarmer particulièrement suspecte contenant des objets sérialisés codés en base64, ce qui laisse un signe de requête clair.
SOURCE : Security Affairs - https://securityaffairs.com/193156/security/u-s-cisa-adds-mirasvit-full-page-cache-warmer-flaw-to-its-known-exploited-vulnerabilities-catalog.html
Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.