🌟 Atualização imperdível para quem gosta de estar bem informado!
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou na quarta-feira uma falha crítica que afeta o Mirasvit Cache Warmer, uma popular extensão de cache de página inteira do Magento, ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), após relatos de exploração ativa na natureza.
A vulnerabilidade, rastreada como CVE-2026-45247 (pontuação CVSS: 9,8), é um caso de desserialização de dados não confiáveis que poderiam ser explorados para executar código PHP arbitrário em um servidor afetado.
“Mirasvit Full Page Cache Warmer contém uma desserialização de vulnerabilidade de dados não confiáveis que pode permitir que invasores não autenticados obtenham execução remota de código, fornecendo um objeto PHP serializado criado no cookie CacheWarmer”, disse CISA.
A deficiência afeta todas as versões da extensão anteriores à versão 1.11.12. Patches para foram lançados em 25 de maio de 2026.
A adição de CVE-2026-45247 ao catálogo KEV ocorre dias depois de Sansec ter dito que a vulnerabilidade de injeção de objeto PHP poderia ser explorada por meio de qualquer solicitação de loja carregando um cookie CacheWarmer criado, que então desserializa parte do valor do cookie com a função unserialize() nativa do PHP sem exigir qualquer autenticação ou privilégios de administrador.
“Como esse valor vem diretamente do cliente, um invasor controla os objetos que o PHP reconstrói”, disse a empresa de segurança holandesa. "Esta é a injeção de objeto PHP (CWE-502). Combinada com uma cadeia de gadgets de classes que o Magento e suas dependências já enviam, a injeção de objeto escala para a execução remota de código."
A Sansec disse que identificou cerca de 6.000 lojas que executam extensões Mirasvit, embora o número exato provavelmente seja maior, dado que redes de distribuição de conteúdo (CDNs) como a máscara Cloudflare são instaladas.
Desde então, a Imperva, de propriedade da Thales, revelou que observou atividade de ataque ativo tentando explorar CVE-2026-45247 por meio de cargas úteis de objetos PHP serializados entregues por meio de solicitações HTTP maliciosas.
“As cargas observadas contêm objetos serializados codificados em base64 projetados para acionar a desserialização de objetos PHP e obter execução remota de código por meio de cadeias de gadgets comumente abusadas”, disse a empresa. “As cargas tentam invocar funções como system() e current() para executar comandos arbitrários no servidor subjacente. Em vários casos observados, os invasores usaram comandos de teste projetados para validar a execução bem-sucedida do código.”
A atividade destacou principalmente sites de jogos e negócios, com os EUA, o Reino Unido, a França e a Austrália emergindo como os países mais visados. Atualmente não se sabe quem está por trás dos esforços de exploração, embora o objetivo final pareça ser sinalizar ambientes Magento vulneráveis e confirmar que a execução remota de código é possível.
À luz da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) foram ordenadas a aplicar as correções até 6 de junho de 2026. Para detectar possíveis esforços de exploração, os proprietários de sites são aconselhados a auditar solicitações de loja que contenham um cookie CacheWarmer cujo valor contém o marcador "CacheWarmer:" seguido por uma string codificada em Base64.
“Objetos PHP serializados codificados em base64 para valores começando com Tz, Qz ou YT, portanto, um valor de cookie CacheWarmer correspondente a CacheWarmer:(Tz|Qz|YT) é um forte indicador de uma tentativa de exploração”, acrescentou Sansec.
A vulnerabilidade, rastreada como CVE-2026-45247 (pontuação CVSS: 9,8), é um caso de desserialização de dados não confiáveis que poderiam ser explorados para executar código PHP arbitrário em um servidor afetado.
“Mirasvit Full Page Cache Warmer contém uma desserialização de vulnerabilidade de dados não confiáveis que pode permitir que invasores não autenticados obtenham execução remota de código, fornecendo um objeto PHP serializado criado no cookie CacheWarmer”, disse CISA.
A deficiência afeta todas as versões da extensão anteriores à versão 1.11.12. Patches para foram lançados em 25 de maio de 2026.
A adição de CVE-2026-45247 ao catálogo KEV ocorre dias depois de Sansec ter dito que a vulnerabilidade de injeção de objeto PHP poderia ser explorada por meio de qualquer solicitação de loja carregando um cookie CacheWarmer criado, que então desserializa parte do valor do cookie com a função unserialize() nativa do PHP sem exigir qualquer autenticação ou privilégios de administrador.
“Como esse valor vem diretamente do cliente, um invasor controla os objetos que o PHP reconstrói”, disse a empresa de segurança holandesa. "Esta é a injeção de objeto PHP (CWE-502). Combinada com uma cadeia de gadgets de classes que o Magento e suas dependências já enviam, a injeção de objeto escala para a execução remota de código."
A Sansec disse que identificou cerca de 6.000 lojas que executam extensões Mirasvit, embora o número exato provavelmente seja maior, dado que redes de distribuição de conteúdo (CDNs) como a máscara Cloudflare são instaladas.
Desde então, a Imperva, de propriedade da Thales, revelou que observou atividade de ataque ativo tentando explorar CVE-2026-45247 por meio de cargas úteis de objetos PHP serializados entregues por meio de solicitações HTTP maliciosas.
“As cargas observadas contêm objetos serializados codificados em base64 projetados para acionar a desserialização de objetos PHP e obter execução remota de código por meio de cadeias de gadgets comumente abusadas”, disse a empresa. “As cargas tentam invocar funções como system() e current() para executar comandos arbitrários no servidor subjacente. Em vários casos observados, os invasores usaram comandos de teste projetados para validar a execução bem-sucedida do código.”
A atividade destacou principalmente sites de jogos e negócios, com os EUA, o Reino Unido, a França e a Austrália emergindo como os países mais visados. Atualmente não se sabe quem está por trás dos esforços de exploração, embora o objetivo final pareça ser sinalizar ambientes Magento vulneráveis e confirmar que a execução remota de código é possível.
À luz da exploração ativa, as agências do Poder Executivo Civil Federal (FCEB) foram ordenadas a aplicar as correções até 6 de junho de 2026. Para detectar possíveis esforços de exploração, os proprietários de sites são aconselhados a auditar solicitações de loja que contenham um cookie CacheWarmer cujo valor contém o marcador "CacheWarmer:" seguido por uma string codificada em Base64.
“Objetos PHP serializados codificados em base64 para valores começando com Tz, Qz ou YT, portanto, um valor de cookie CacheWarmer correspondente a CacheWarmer:(Tz|Qz|YT) é um forte indicador de uma tentativa de exploração”, acrescentou Sansec.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cisa #adiciona #falha #explorada #do #magento #rce #cve202645247 #ao #catálogo #kev
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário