Krytyczna luka w Mirasvit Full Page Cache Warmer umożliwiająca zdalne wykonanie kodu
Krytyczna podatność w Mirasvit Full Page Cache Warmer umożliwia zdalne wykonanie kodu. Zalecana szybka aktualizacja i monitorowanie systemu.
- CVSS
- 9.3 CRITICAL
- EPSS
- 97.83%
- Aktywnie wykorzystywana
- tak
- Produkt
- Mirasvit Full Page Cache Warmer
Co wiadomo
Wersje Mirasvit Full Page Cache Warmer dla Magento 2 starsze niż 1.11.12 zawierają podatność na wstrzyknięcie obiektu PHP poprzez nieautoryzowaną deserializację danych. Atakujący mogą przesłać spreparowany obiekt w ciasteczku CacheWarmer, co pozwala na zdalne wykonanie dowolnego kodu na serwerze.
Wpływ biznesowy
Ta krytyczna luka o wysokim wyniku CVSS 9.3 umożliwia atakującym przejęcie kontroli nad serwerem bez uwierzytelnienia, co może prowadzić do poważnych naruszeń bezpieczeństwa, utraty danych i zakłóceń w działaniu usług e-commerce opartych na Magento. Operatorzy infrastruktury powinni traktować tę podatność priorytetowo ze względu na jej potencjalne skutki biznesowe.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji i zastosowanie najnowszej wersji Mirasvit Full Page Cache Warmer. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję usługi, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań naprawczych.