本日、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Magento 2向けの人気プラグイン「Mirasvit Full Page Cache Warmer」に存在する深刻な脆弱性(CVE-2026-45247)を「既知の悪用されている脆弱性(KEV)カタログ」に追加し、即座の対策を強く勧告しました。この脆弱性はPHPオブジェクトインジェクションの欠陥であり、認証されていない攻撃者がリモートで任意のコードを実行できるため、ウェブサイト全体が乗っ取られる可能性があります。
脆弱性の概要と影響範囲
CVE-2026-45247は、Mirasvit Full Page Cache Warmer for Magento 2のバージョン1.11.12より前のバージョンに影響を与える、深刻なPHPオブジェクトインジェクションの脆弱性です。この問題は、CacheWarmerクッキーを通じて特別に細工されたシリアライズされたPHPオブジェクトが、PHPの`unserialize()`関数によって安全でない方法で処理されることに起因します。
攻撃者は、Magentoとその依存関係に存在するガジェットチェーンを悪用することで、リモートコード実行(RCE)を達成し、結果として影響を受けるサーバーの完全な制御を奪う可能性があります。CISAは、この脆弱性が活発に悪用されていることを確認しており、連邦政府機関に対して2026年6月5日までに修正を義務付けています。
具体的な影響・攻撃シナリオ
この脆弱性を悪用することで、未認証の攻撃者はCacheWarmerクッキーに細工されたPHPオブジェクトを送り込み、サーバー上で任意のPHPコードを実行できます。これにより、ウェブサイトの改ざん、機密情報の窃取、バックドアの設置、さらにはサーバー全体の乗っ取りといった、壊滅的な被害が発生する可能性があります。特に、オンラインストアを運営するMagentoサイトにとって、顧客データ漏洩やビジネスの停止は甚大な影響を及ぼします。
エンジニアが今すぐ取るべき対策
最も重要な対策は、Mirasvit Full Page Cache Warmerプラグインを直ちにバージョン1.11.12以降にアップデートすることです。アップデートが困難な場合は、以下に示す緩和策を一時的に適用することを検討してください。これは、悪意のあるHTTPリクエストをブロックするNginxの設定例です。
map $http_cookie $block_cachewarmer_cookie {
"~*CacheWarmer=.*O:[0-9]+:.*" 1;
default 0;
}
server {
# ... その他の設定 ...
if ($block_cachewarmer_cookie = 1) {
return 403;
}
# ... その他の設定 ...
}このNginx設定は、`CacheWarmer`クッキー内にシリアライズされたPHPオブジェクト(`O:[0-9]+:`パターン)が含まれているリクエストを検出し、403 Forbiddenエラーを返してブロックします。これはあくまで一時的な緩和策であり、速やかにベンダーが提供するパッチを適用することが恒久的な解決策です。
📦