Satu Cookie Berbahaya Dapat Mengambil Alih Server E-Commerce
Platform e-commerce menjadi salah satu target favorit pelaku ancaman karena menyimpan data pelanggan, informasi pembayaran, serta aset bisnis yang bernilai tinggi. Ancaman terbaru yang menjadi perhatian komunitas keamanan adalah CVE-2026-45247, sebuah kerentanan kritis pada ekstensi Mirasvit Full Page Cache Warmer untuk Magento 2 dan Adobe Commerce yang memungkinkan Remote Code Execution (RCE) tanpa autentikasi. Kerentanan ini memiliki skor CVSS 9.8 dan telah dilaporkan aktif dieksploitasi di dunia nyata.
Menurut Imperva, pelanggan yang menggunakan layanan Cloud WAF dan WAF Gateway telah mendapatkan perlindungan terhadap upaya eksploitasi yang menargetkan kerentanan ini. Imperva juga mengamati aktivitas serangan yang mencoba mengirim payload PHP ter-serialisasi melalui cookie khusus bernama CacheWarmer untuk memperoleh eksekusi kode pada server yang rentan.
Apa Itu Mirasvit Full Page Cache Warmer?
Mirasvit Full Page Cache Warmer merupakan ekstensi yang digunakan pada Magento untuk mempercepat performa situs dengan melakukan pemanasan (warming) cache halaman sebelum diakses pelanggan. Tujuannya adalah mengurangi waktu loading dan meningkatkan pengalaman pengguna pada toko online.
Fungsi Utama Cache Warmer
| Fungsi | Manfaat |
|---|---|
| Preload Cache | Mempercepat akses halaman |
| Mengurangi Beban Server | Menurunkan jumlah proses rendering |
| Optimasi Performa | Mempercepat pengalaman pengguna |
| Meningkatkan Konversi | Mengurangi bounce rate |
Meskipun memberikan manfaat performa, kelemahan dalam implementasi keamanan dapat mengubah komponen optimasi ini menjadi pintu masuk bagi penyerang.
Mengenal CVE-2026-45247
Kerentanan ini berasal dari penggunaan fungsi PHP unserialize() terhadap data yang berasal langsung dari pengguna melalui cookie CacheWarmer.
Informasi Kerentanan
| Parameter | Detail |
|---|---|
| CVE | CVE-2026-45247 |
| Severity | Critical |
| CVSS Score | 9.8 |
| Jenis Kerentanan | PHP Object Injection |
| Dampak | Remote Code Execution |
| Autentikasi | Tidak diperlukan |
| Produk Terdampak | Mirasvit Full Page Cache Warmer |
| Versi Rentan | Sebelum 1.11.12 |
Penyerang cukup mengirimkan cookie yang telah dimanipulasi untuk memicu proses deserialisasi objek PHP yang berbahaya. Jika lingkungan Magento memiliki gadget chain yang sesuai, serangan dapat berkembang menjadi eksekusi perintah pada server.
Bagaimana Serangan Terjadi?
Eksploitasi CVE-2026-45247 relatif sederhana dibandingkan banyak serangan RCE lainnya.
Tahapan Serangan
| Tahap | Aktivitas |
|---|---|
| 1 | Penyerang mengirim HTTP request |
| 2 | Cookie CacheWarmer berisi payload berbahaya |
| 3 | Aplikasi memanggil fungsi unserialize() |
| 4 | Objek PHP berbahaya dibuat |
| 5 | Gadget chain dieksekusi |
| 6 | Perintah sistem dijalankan |
| 7 | Server dikompromikan |
Karena eksploitasi terjadi melalui request normal ke storefront Magento, tidak diperlukan akun administrator, akses backend, maupun konfigurasi khusus.
Mengapa PHP Object Injection Sangat Berbahaya?
PHP Object Injection termasuk salah satu jenis kerentanan yang paling berisiko karena dapat memanfaatkan kode yang sudah ada di aplikasi.
Dampak Potensial
| Dampak | Konsekuensi |
|---|---|
| Remote Code Execution | Kendali penuh server |
| Web Shell Deployment | Persistensi jangka panjang |
| Data Theft | Kebocoran data pelanggan |
| Credential Exposure | Pencurian akun administrator |
| Malware Installation | Infeksi lanjutan |
| Ransomware Deployment | Gangguan operasional |
Pada lingkungan e-commerce, keberhasilan eksploitasi dapat memberikan akses terhadap database pelanggan, transaksi pembayaran, hingga kredensial administratif.
Eksploitasi Sudah Terjadi di Dunia Nyata
Imperva melaporkan telah mengamati aktivitas eksploitasi aktif tidak lama setelah kerentanan dipublikasikan.
Beberapa payload yang diamati menggunakan kelas dari pustaka Monolog, antara lain:
-
SyslogUdpHandler
-
BufferHandler
-
FingersCrossedHandler
-
GroupHandler
Payload tersebut mencoba menjalankan fungsi seperti:
-
system() -
current()
Dalam beberapa kasus, pelaku ancaman terlebih dahulu menjalankan perintah uji untuk memverifikasi keberhasilan eksploitasi sebelum memasang malware, web shell, atau mekanisme persistensi lainnya.
Aktivitas yang Diamati
| Aktivitas | Tujuan |
|---|---|
| RCE Testing | Validasi target rentan |
| Command Execution | Verifikasi eksploitasi |
| Web Shell Deployment | Persistensi |
| Malware Installation | Akses lanjutan |
| Credential Harvesting | Pengumpulan data |
CISA Masukkan ke Daftar Kerentanan yang Dieksploitasi
Tingkat keseriusan kerentanan ini semakin terlihat ketika Cybersecurity and Infrastructure Security Agency (CISA) memasukkan CVE-2026-45247 ke dalam Known Exploited Vulnerabilities (KEV) Catalog, yang berarti terdapat bukti eksploitasi aktif di lapangan.
Arti Masuk KEV Catalog
| Status | Makna |
|---|---|
| Public Disclosure | Informasi sudah tersedia |
| Active Exploitation | Serangan telah terjadi |
| High Priority | Patch harus diprioritaskan |
| Elevated Risk | Ancaman nyata bagi organisasi |
Keputusan ini menunjukkan bahwa ancaman tersebut bukan lagi sekadar risiko teoretis.
Bagaimana Imperva Melindungi Pelanggan?
Imperva menyatakan bahwa pelanggan mereka telah terlindungi dari upaya eksploitasi CVE-2026-45247 melalui mekanisme inspeksi HTTP yang mendalam.
Lapisan Perlindungan Imperva
| Fitur | Fungsi |
|---|---|
| Cloud WAF | Memblokir request berbahaya |
| WAF Gateway | Perlindungan aplikasi internal |
| Payload Inspection | Analisis objek PHP ter-serialisasi |
| RCE Detection | Identifikasi pola eksploitasi |
| Threat Intelligence | Pembaruan proteksi otomatis |
Imperva mampu mengidentifikasi pola deserialisasi berbahaya, payload PHP Object Injection, serta teknik Remote Code Execution sebelum request mencapai server Magento yang rentan.
Langkah Mitigasi yang Harus Dilakukan
Vendor telah merilis perbaikan pada versi 1.11.12 dan seluruh pengguna disarankan segera melakukan upgrade.
Checklist Mitigasi
| Langkah | Prioritas |
|---|---|
| Upgrade ke 1.11.12 atau lebih baru | Sangat Tinggi |
| Audit modul Mirasvit | Tinggi |
| Periksa log CacheWarmer | Tinggi |
| Implementasi WAF | Tinggi |
| Monitoring aktivitas server | Tinggi |
| Pemeriksaan web shell | Tinggi |
| Review integritas file Magento | Tinggi |
Perlu diperhatikan bahwa beberapa organisasi mungkin menggunakan komponen ini tanpa menyadarinya karena Cache Warmer dapat dibundel dalam paket Mirasvit lainnya.
Relevansi bagi Organisasi di Indonesia
Magento masih banyak digunakan oleh:
-
Retail nasional.
-
Marketplace B2B.
-
Distributor.
-
Perusahaan manufaktur.
-
E-commerce enterprise.
Risiko bagi Bisnis Digital
| Area | Dampak |
|---|---|
| Website E-Commerce | Downtime |
| Data Pelanggan | Kebocoran |
| Sistem Pembayaran | Kompromi |
| Reputasi Brand | Penurunan kepercayaan |
| Operasional Penjualan | Gangguan bisnis |
Karena eksploitasi dapat dilakukan tanpa login dan hanya membutuhkan request HTTP biasa, organisasi yang menggunakan Magento perlu memastikan seluruh ekstensi pihak ketiga ikut masuk dalam proses vulnerability management, bukan hanya platform inti Magento itu sendiri.
Kesimpulan
CVE-2026-45247 merupakan salah satu kerentanan Magento paling serius yang muncul pada tahun 2026. Dengan memanfaatkan kelemahan deserialisasi PHP dalam Mirasvit Full Page Cache Warmer, penyerang dapat memperoleh Remote Code Execution tanpa autentikasi, sehingga memungkinkan pengambilalihan penuh server e-commerce. Kerentanan ini memiliki skor CVSS 9.8, telah masuk ke katalog KEV milik CISA, dan diketahui sedang dieksploitasi secara aktif di internet.
Bagi organisasi yang menjalankan Magento atau Adobe Commerce, tindakan paling penting saat ini adalah memverifikasi keberadaan modul Mirasvit Cache Warmer, segera memperbarui ke versi 1.11.12 atau yang lebih baru, serta menerapkan perlindungan tambahan melalui WAF dan monitoring keamanan. Insiden ini kembali menunjukkan bahwa kerentanan pada plugin atau ekstensi pihak ketiga dapat memberikan dampak yang sama besar, bahkan lebih besar, dibandingkan kerentanan pada platform inti itu sendiri.
Imperva Indonesia merupakan bagian dari PT. iLogo Infralogy Indonesia, yang bertindak sebagai partner resmi Imperva.
Selain itu, kami juga berperan sebagai penyedia layanan (vendor) sekaligus distributor berbagai produk Infrastruktur IT dan Cybersecurity terbaik di Indonesia
