أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ثغرة أمنية حرجة تؤثر على إضافة Mirasvit Cache Warmer، وهي إضافة شائعة لتخزين ذاكرة التخزين المؤقت لصفحات Magento الكاملة، إلى فهرس الثغرات الأمنية المستغلة المعروفة (KEV)، وذلك بعد تقارير عن استغلال نشط لها في الطبيعة.
تُعرف هذه الثغرة، التي تحمل المعرف CVE-2026-45247، بنتيجة CVSS تبلغ 9.8. وهي تنطوي على مشكلة في إلغاء تسلسل البيانات غير الموثوق بها، والتي يمكن استغلالها لتنفيذ تعليمات برمجية PHP عشوائية على الخادم المتأثر.
ثغرة Mirasvit Cache Warmer الأمنية تستدعي الانتباه
تتضمن إضافة Mirasvit Full Page Cache Warmer ثغرة في إلغاء تسلسل البيانات غير الموثوق بها. وبحسب CISA، يمكن للمهاجمين غير المصرح لهم استغلال هذه الثغرة لتحقيق تنفيذ التعليمات البرمجية عن بعد. ويتم ذلك عن طريق توفير كائن PHP مُسلسل مُصاغ بعناية في ملف تعريف الارتباط (cookie) الخاص بـ CacheWarmer.
تشمل هذه المشكلة جميع إصدارات الإضافة قبل الإصدار 1.11.12. وقد تم إصدار التصحيحات اللازمة في 25 مايو 2026.
التفاصيل الفنية للاستغلال
جاءت إضافة CVE-2026-45247 إلى فهرس KEV بعد أيام قليلة من إعلان شركة Sansec أن ثغرة حقن كائنات PHP يمكن استغلالها عن طريق أي طلب واجهة متجر يحمل ملف تعريف ارتباط CacheWarmer مُصاغ بعناية. يقوم هذا الملف بعد ذلك بإلغاء تسلسل جزء من قيمة ملف تعريف الارتباط باستخدام دالة unserialize() الأصلية في PHP، دون الحاجة إلى أي مصادقة أو امتيازات إدارية.
أوضحت Sansec أن هذا يعني أن المهاجم يتحكم في الكائنات التي يعيد PHP بناءها، لأن هذه القيمة تأتي مباشرة من العميل. وتُعرف هذه العملية بحقن كائنات PHP (CWE-502)، وعند دمجها مع سلاسل الأدوات المساعدة (gadget chains) من الفئات التي توفرها Magento واعتمادياتها بالفعل، تتصاعد مشكلة حقن الكائنات إلى تنفيذ تعليمات برمجية عن بعد.
مدى الانتشار والأهداف
أشارت Sansec إلى اكتشاف نحو 6000 متجر تستخدم إضافات Mirasvit، على الرغم من أن العدد الفعلي قد يكون أعلى نظرًا إلى أن شبكات توصيل المحتوى (CDNs) مثل Cloudflare تخفي عمليات التثبيت.
من جانبها، كشفت شركة Imperva، المملوكة لشركة Thales، أنها لاحظت نشاط هجومي نشط يحاول استغلال CVE-2026-45247 من خلال حمولات كائنات PHP مُسلسلة يتم تسليمها عبر طلبات HTTP ضارة.
وذكرت الشركة أن الحمولات المرصودة تحتوي على كائنات مُسلسلة مُشفرة بترميز Base64، مصممة لإحداث إلغاء تسلسل كائنات PHP وتحقيق تنفيذ التعليمات البرمجية عن بعد من خلال سلاسل الأدوات المساعدة التي تُساء استخدامها بشكل شائع. وتحاول الحمولات استدعاء وظائف مثل system() و current() لتنفيذ أوامر عشوائية على الخادم الأساسي. وفي عدة حالات تم رصدها، استخدم المهاجمون أوامر اختبار مصممة للتحقق من نجاح تنفيذ التعليمات البرمجية.
توجيهات التخفيف والكشف
ركز النشاط الهجومي بشكل أساسي على مواقع الألعاب والأعمال. وبرزت الولايات المتحدة والمملكة المتحدة وفرنسا وأستراليا كأكثر البلدان استهدافًا. ولا يُعرف حاليًا من يقف وراء جهود الاستغلال، على الرغم من أن الهدف النهائي يبدو هو تحديد بيئات Magento الضعيفة وتأكيد إمكانية تنفيذ التعليمات البرمجية عن بعد.
في ضوء هذا الاستغلال النشط، طُلب من وكالات الفرع التنفيذي المدني الفيدرالي (FCEB) تطبيق الإصلاحات بحلول 6 يونيو 2026. وللكشف عن محاولات الاستغلال المحتملة، يُنصح أصحاب المواقع بمراجعة طلبات واجهة المتجر التي تحمل ملف تعريف ارتباط CacheWarmer. يجب البحث عن قيم تحتوي على العلامة “CacheWarmer:” متبوعة بسلسلة مشفرة بترميز Base64.
وأضافت Sansec: “الكائنات المُسلسلة لـ PHP المشفرة بترميز Base64 تبدأ بالقيم Tz، Qz، أو YT. لذلك، فإن قيمة ملف تعريف ارتباط CacheWarmer التي تطابق CacheWarmer:(Tz|Qz|YT) تعد مؤشرًا قويًا على محاولة استغلال.”