Federal Siber Güvenlik Kurumu, Magento platformunda yaygın olarak kullanılan bir önbellek eklentisi olan Mirasvit Cache Warmer’da tespit edilen kritik bir uzaktan kod yürütme (RCE) açığını, bilinen istismar edilen zafiyetler (KEV) kataloğuna ekledi. Bu güvenlik açığı, aktif olarak kötüye kullanıldığı raporlandı ve 25 Mayıs 2026 tarihinde yamalar yayımlandı.
Saldırının Genel Çerçevesi
CVE-2026-45247 olarak izlenen zafiyet, doğrulanmamış verilerin PHP nesne serileştirmesinin tersine çevrilmesi (deserialization) yoluyla kötü amaçlı kod çalıştırılmasına olanak tanıyor. Saldırganlar, CacheWarmer çerezinde özel olarak hazırlanmış serileştirilmiş PHP nesneleri göndererek kimlik doğrulaması olmadan hedef sunucuda rastgele PHP kodu çalıştırabiliyorlar. Bu durum, Magento ve bağımlılıkları tarafından kullanılan sınıflardan oluşan gadget zincirleriyle birleştiğinde, uzaktan kod yürütme saldırılarına zemin hazırlıyor.
Hangi Sistemler Risk Altında?
Bu güvenlik açığı, Mirasvit Cache Warmer eklentisinin 1.11.12 sürümünden önceki tüm versiyonlarını etkiliyor. Yapılan analizlere göre, dünya genelinde yaklaşık 6.000 mağaza bu eklentiyi kullanıyor; ancak içerik dağıtım ağları (CDN) nedeniyle gerçek sayı daha yüksek olabilir. Saldırılar özellikle oyun ve ticaret sitelerini hedef alırken, ABD, İngiltere, Fransa ve Avustralya en çok saldırıya uğrayan ülkeler arasında yer alıyor.
Saldırı Zinciri ve Teknik Detaylar
Saldırı, mağaza isteklerinde CacheWarmer çerezinin içinde yer alan Base64 kodlu serileştirilmiş PHP nesnelerinin PHP’nin native unserialize() fonksiyonu ile doğrulanmadan işlenmesiyle başlıyor. Bu nesneler, saldırganın kontrolünde olduğundan, PHP nesne enjeksiyonu (CWE-502) gerçekleşiyor ve Magento’nun sınıflarından oluşan gadget zinciri sayesinde uzaktan kod yürütme sağlanıyor. Saldırganlar, system() ve current() gibi fonksiyonları kullanarak sunucuda komut çalıştırmayı deniyorlar. Bu tür aktiviteler, özellikle HTTP isteklerinde Base64 ile kodlanmış “CacheWarmer:(Tz|Qz|YT)” desenine sahip çerezlerin varlığı ile tespit edilebiliyor.
Siber Güvenlik Ekipleri İçin Öneriler
- İlgili Mirasvit Cache Warmer eklentisini 1.11.12 veya üzeri sürüme güncelleyin.
- Web uygulaması güvenlik duvarı (WAF) kurallarını, CacheWarmer çerezinde şüpheli Base64 kodlu nesneleri engelleyecek şekilde yapılandırın.
- PHP
unserialize()fonksiyonunun kullanıldığı alanlarda giriş doğrulaması ve filtreleme uygulayın. - Sunucu loglarını düzenli olarak inceleyerek, özellikle CacheWarmer çerezli HTTP isteklerini analiz edin.
- EDR ve SIEM çözümlerinizde PHP nesne enjeksiyonu ve anormal sistem komutu çağrılarını tespit edecek kurallar oluşturun.
- Yetkisiz erişim ve kimlik doğrulama eksikliği nedeniyle oluşabilecek riskleri azaltmak için Zero Trust prensiplerini uygulayın.
- Olay müdahale (incident response) planlarınızı bu tür RCE saldırılarına karşı güncel tutun.
Kurumsal Ortamlarda Olası Senaryo
Bir e-ticaret platformu, Mirasvit Cache Warmer eklentisinin eski bir sürümünü kullanıyor. Saldırgan, mağaza ziyaretçisinin tarayıcısına kötü amaçlı hazırlanmış bir CacheWarmer çerezi yerleştiriyor. Bu çerez, PHP’nin unserialize() fonksiyonu tarafından işlenirken, saldırganın kontrolündeki nesneler sunucu üzerinde rastgele kod çalıştırılmasına imkan tanıyor. Sonuçta, saldırgan sunucuya arka kapı yerleştirebilir veya veri sızıntısı gerçekleştirebilir.
Regülasyon ve Uyumluluk Boyutu
Federal sivil kurumlar, bu açığın aktif istismarını önlemek amacıyla 6 Haziran 2026 tarihine kadar zorunlu yama uygulaması yapmaları yönünde uyarıldı. Kurumsal ortamlar için, KVKK ve diğer veri koruma düzenlemeleri kapsamında, bu tür kritik güvenlik açıklarının hızlıca kapatılması ve düzenli güvenlik denetimlerinin yapılması önem taşıyor.