CISA cảnh báo lỗ hổng RCE nghiêm trọng trên Magento đang bị khai thác thực tế

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa chính thức bổ sung lỗ hổng bảo mật nghiêm trọng trên Mirasvit Cache Warmer – một tiện ích mở rộng phổ biến dành cho nền tảng thương mại điện tử Magento – vào danh mục các lỗ hổng đã bị khai thác (KEV). Lỗ hổng này được định danh là CVE-2026-45247 với điểm CVSS tối đa 9.8.

Chi tiết về lỗ hổng CVE-2026-45247

Đây là lỗi deserialization (giải tuần tự hóa) dữ liệu không tin cậy. Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã PHP tùy ý (Remote Code Execution – RCE) trên server mà không cần xác thực. Cụ thể, kẻ tấn công chỉ cần gửi một đối tượng PHP đã được chế tạo sẵn thông qua cookie CacheWarmer.

Theo các chuyên gia bảo mật từ Sansec, do giá trị cookie được hệ thống xử lý trực tiếp qua hàm unserialize() của PHP mà không qua kiểm duyệt, kẻ tấn công có thể kiểm soát các đối tượng được tái tạo. Bằng cách kết hợp với các “gadget chain” có sẵn trong Magento, kẻ tấn công có thể leo thang đặc quyền để thực thi mã độc từ xa.

Tình trạng khai thác thực tế

Công ty bảo mật Imperva cho biết họ đã ghi nhận các chiến dịch tấn công nhắm vào lỗ hổng này. Các payload độc hại thường chứa các đối tượng PHP được mã hóa Base64, nhằm mục đích kích hoạt lệnh system() hoặc current() để chạy các lệnh tùy ý trên server mục tiêu. Các cuộc tấn công chủ yếu nhắm vào các trang web kinh doanh và giải trí tại Mỹ, Anh, Pháp và Úc.

Khuyến nghị cho quản trị viên

Mirasvit đã phát hành bản vá cho lỗ hổng này vào ngày 25/5/2026. Tất cả các phiên bản trước 1.11.12 đều bị ảnh hưởng. CISA yêu cầu các cơ quan chính phủ liên bang phải áp dụng bản vá trước ngày 6/6/2026.

Để phát hiện dấu hiệu bị tấn công, quản trị viên nên kiểm tra log các yêu cầu storefront có chứa cookie CacheWarmer với giá trị bắt đầu bằng các chuỗi CacheWarmer:Tz, CacheWarmer:Qz hoặc CacheWarmer:YT. Đây là những dấu hiệu nhận biết mạnh mẽ cho thấy một nỗ lực khai thác đang diễn ra.

Nguồn tham khảo: The Hacker News