Auf den Punkt: Eine PHP-Objekt-Injektion in Mirasvit Cache Warmer (CVE-2026-45247) ermöglicht unauthentifizierte Remote-Code-Ausführung auf Magento-2- und Adobe-Commerce-Systemen und wird bereits aktiv genutzt.
Eine PHP-Objekt-Injektion in der Mirasvit-Erweiterung Full Page Cache Warmer für Magento 2 und Adobe Commerce (CVE-2026-45247, CVSS 9,8) wird bereits von Angreifern ausgenutzt, um Code remote auf E-Commerce-Servern auszuführen. Die CISA hat den Fehler in ihre Liste aktiv genutzter Schwachstellen aufgenommen.
Die US-Cybersicherheitsbehörde CISA hat am 26. Mai 2026 vor der kritischen Schwachstelle CVE-2026-45247 in der Mirasvit-Erweiterung Full Page Cache Warmer gewarnt. Die Lücke betrifft Magento-2- und Adobe-Commerce-Systeme und wurde mit einem CVSS-Score von 9,8 bewertet. Dem Sicherheitsunternehmen Imperva zufolge begannen Angreifer unmittelbar nach der öffentlichen Offenlegung mit aktiven Exploits.
Die Schwachstelle basiert auf einer unzureichenden Validierung bei der Deserialisierung von PHP-Objekten. Angreifer schleusen manipulierte, serialisierte PHP-Objekte über das CacheWarmer-Cookie ein. Das System verarbeitet diese Daten ohne Beschränkung auf erlaubte Klassen. In Kombination mit Gadget-Chains aus bereits installiertem Magento-Code führt die Objekt-Injektion (CWE-502) zur Remote-Code-Ausführung. Nicht authentifizierte Angreifer erlangen damit die Möglichkeit, beliebigen Code direkt auf den Webservern auszuführen.
Betroffen sind alle Installationen der Mirasvit-Erweiterung in Versionen vor 1.11.12. Nach Angaben von Sansec läuft die Erweiterung auf tausenden E-Commerce-Plattformen. Die CISA hat US-Bundesbehörden angewiesen, betroffene Systeme innerhalb von drei Tagen zu aktualisieren.
Administratoren können verdächtige Aktivitäten in den Server-Logs identifizieren, indem sie Storefront-Anfragen auf das CacheWarmer-Cookie hin prüfen. Ein Cookie-Wert, der dem Muster CacheWarmer:(Tz|Qz|YT) entspricht, deutet auf einen Ausnutzungsversuch hin. Dies kommt daher, dass serialisierte PHP-Objekte in Base64 mit diesen Präfixen codiert werden.
Die sofortige Aktualisierung auf Version 1.11.12 oder neuer wird dringend empfohlen, da diese Version Schutzmechanismen gegen die Objekt-Injektion implementiert.
Quelle: www.it-daily.net · Erschienen 10. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.