概要
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は2026年6月3日、Magento向けフルページキャッシュ拡張機能「Mirasvit Cache Warmer」に存在するリモートコード実行(RCE)脆弱性CVE-2026-45247(CVSSスコア9.8)を既知悪用脆弱性(KEV)カタログに追加した。この脆弱性はバージョン1.11.12未満の全バージョンに影響し、認証なしに攻撃者がサーバー上で任意のPHPコードを実行できる。実際の攻撃が米国・英国・フランス・オーストラリアのゲームおよびビジネスサイトで確認されており、連邦機関には2026年6月6日までの対処が義務付けられた。
脆弱性の技術的詳細
CVE-2026-45247の根本原因はPHPオブジェクトインジェクション(信頼できないデータの逆シリアル化)にある。攻撃者はCacheWarmerクッキーに細工したシリアル化PHPオブジェクトを注入することで、デシリアライズ処理をトリガーする。同拡張機能はデシリアライズ時にクラスを制限しないため、Magentoコア内に存在するガジェットチェーンと組み合わせることでRCEへ昇格できる。認証不要かつネットワーク越しに悪用可能なため、CVSSスコアは最高水準の9.8に分類された。
セキュリティ研究者の観測によると、攻撃ペイロードはBase64エンコードされたシリアル化オブジェクトとして送信される。侵害の検知には、CacheWarmerクッキー内にCacheWarmer:(Tz|Qz|YT)というパターンが含まれるリクエストの有無を確認することが有効とされている。
攻撃のタイムラインと影響範囲
パッチは2026年5月25日にリリースされ、翌5月26日に脆弱性が公開された。その直後から脅威アクターによる悪用が開始されており、パッチ適用猶予がほぼ存在しない状況でエクスプロイトが広まった。CDNによるIPマスキングを考慮すると実際の影響店舗数はさらに多い可能性がある。
Impervaが観測した攻撃活動では、主にゲーム系および一般ビジネス系のECサイトが標的とされており、地理的には英語圏およびフランスを中心に被害が確認されている。
対処方法と推奨事項
Mirasvit Cache Warmerを利用している管理者は直ちにバージョン1.11.12以降へのアップデートを実施する必要がある。KEVカタログへの追加により、米国連邦政府機関は2026年6月6日を期限として対処が義務付けられているが、民間組織においても同様の緊急度で対応することが推奨される。パッチ適用が即座に困難な場合は、Webアプリケーションファイアウォール(WAF)でCacheWarmerクッキーの異常なペイロードをフィルタリングする緩和策も有効とされている。