Уразливість десеріалізації в Mirasvit Full Page Cache Warmer дозволяє віддалене виконання коду
Критична уразливість десеріалізації в Mirasvit Full Page Cache Warmer для Magento 2 дозволяє віддалене виконання коду. Рекомендується термінове оновлення.
- CVSS
- 9.3 CRITICAL
- EPSS
- 97.83%
- Активно використовується
- так
- Продукт
- Mirasvit Full Page Cache Warmer
Що відомо
У Mirasvit Full Page Cache Warmer для Magento 2 версій до 1.11.12 виявлено критичну уразливість десеріалізації необроблених даних, що дозволяє неавторизованим зловмисникам виконувати довільний код на сервері через спеціально сформований PHP-об'єкт у cookie CacheWarmer.
Бізнес-вплив
Ця уразливість може призвести до повного компрометації серверів, на яких працює Magento 2 з уразливим модулем, що загрожує витоком даних, порушенням цілісності та доступності сервісів. Власники інфраструктури повинні розглядати цю загрозу як критичну та пріоритетну для усунення, оскільки експлуатація не вимагає автентифікації і може бути використана для віддаленого виконання коду.
Рекомендовані дії адміністратора
Рекомендується негайно перевірити наявність оновлень від Mirasvit і встановити патчі, якщо вони доступні. Якщо оновлення неможливе, слід обмежити доступ до вразливого компонента, ретельно перевірити журнали на ознаки експлуатації та впровадити моніторинг аномальної активності. Також варто провести аудит використання функції unserialize() у середовищі Magento для виявлення подібних ризиків.