電商平臺Magento快取外掛存在重大漏洞，攻擊者可用於遠端程式碼執行攻擊

此漏洞出現在網頁快取外掛程式Mirasvit Cache Warmer，為未通過身分驗證的PHP物件注入漏洞，攻擊者只要發送特製的cookie進行storefront請求，就能觸及攻擊者控制的資料，過過程無需任何身分驗證，也無須管理員權限或特殊設定，只要搭配合適的Gadget Chain（小工具鏈），即有機會遠端執行任意程式碼，CVSS風險評為9.8分（滿分10分），Mirasvit開發團隊於5月25日發布1.11.12版進行修補，呼籲所有用戶儘速更新。值得留意的是，由於該套件通常會與其他Mirasvit套件捆綁，因此有許多網路商店的經營者可能在不知情的情況下使用。Sansec發現約有6千個電商平臺採用該外掛程式，但實際安裝的數量可能會更多。

雖然Sansec並未提及該漏洞是否已出現實際攻擊活動，不過該公司指出，若是攻擊者成功利用，將會留下明確的請求，對此，他們也提供檢測的方法，讓網站管理員檢查網站是否遭到入侵。