Object-Injection-Lücke gefährdet Magento-Shops CVE-2026-45247 in Mirasvit Full Page Cache Warmer aktiv ausgenutzt

Von Thomas Joos 2 min Lesedauer

Die kritische Schwachstelle CVE-2026-45247 erlaubt eine Remote Code Execution ohne Authentifizierung in der Mirasvit-Erweiterung „Full Page Cache Warmer“ für Magento 2. Ein manipuliertes serialisiertes PHP-Objekt im CacheWarmer-Cookie reicht für den Angriff aus. Die CISA hat die Schwachstelle als aktiv ausgenutzt eingestuft, Version 1.11.12 behebt sie.

Ein manipuliertes CacheWarmer-Cookie ermöglicht unauthentifizierte Codeausführung auf Servern der Onlineshop-Software Magento 2. CISA bestätigt aktive Ausnutzung, Version 1.11.12 schließt die Lücke.(Bild:  Gemini / KI-generiert)
Ein manipuliertes CacheWarmer-Cookie ermöglicht unauthentifizierte Codeausführung auf Servern der Onlineshop-Software Magento 2. CISA bestätigt aktive Ausnutzung, Version 1.11.12 schließt die Lücke.
(Bild: Gemini / KI-generiert)

Die Erweiterung Full Page Cache Warmer von Mirasvit beschleunigt das Vorladen von Seiten-Caches in Magento-2-Shops. In Versionen vor 1.11.12 verarbeitet sie den Inhalt des Cache­Warmer-Cookies über die native PHP-Funktion unserialize() ohne Einschränkung. Daraus ergibt sich die Schwachstelle CVE-2026-45247 mit PHP-Object-Injection, eingestuft als CWE-502 und mit einem CVSS-Score von 9.3 nach Version 4.0 und 9.8 nach Version 3.1.

Ein präpariertes Cookie löst die Deserialisierung aus

Der Angriff übergibt ein manipuliertes serialisiertes PHP-Objekt im CacheWarmer-Cookie. Die Erweiterung reicht den Cookie-Wert ungeprüft an unserialize() weiter. PHP rekonstruiert daraus Objekte und ruft beim Auf- und Abbau bestimmte Magic-Methoden auf, darunter __wakeup und __destruct. Über sogenannte Gadget Chains, vorhandene Klassen in Magento und seinen Abhängigkeiten, lässt sich diese Kette so verknüpfen, dass am Ende beliebiger Code auf dem Server läuft. Ein gültiges Konto ist nicht erforderlich, der Zugriff erfolgt allein über eine HTTP-Anfrage mit dem präparierten Cookie.

Unauthentifizierte Codeausführung bedroht den gesamten Shop

Die Bewertung fällt mit 9,3 und 9,8 in den kritischen Bereich, da der Angriff über das Netzwerk, bei niedriger Komplexität und ohne Rechte oder Nutzerinteraktion gelingt. Bei erfolgreicher Ausführung erlangt der Angreifer Kontrolle über den Webshop-Server, mit Zugriff auf Datenbank, Kundendaten und Zahlungsabläufe. Magento-Shops gehören seit Jahren zu den bevorzugten Zielen für das Abgreifen von Kreditkartendaten. Eine Server-Übernahme auf dieser Plattform wiegt entsprechend schwer.

Version 1.11.12 behebt die Schwachstelle

Mirasvit schließt die Lücke in Version 1.11.12 des Cache Warmer. Betreiber von Magento-2-Shops mit der Erweiterung sollten zeitnah aktualisieren. Solange ein Update aussteht, senkt eine Web Application Firewall das Risiko, indem sie serialisierte Strukturen im CacheWarmer-Cookie erkennt und blockiert. Der Angriffsvektor läuft vollständig über einen Cookie-Wert, was eine regelbasierte Filterung am Reverse Proxy ermöglicht. CISA hat CVE-2026-45247 in den KEV-Katalog aufgenommen und bestätigt damit aktive Ausnutzung.

Fazit

Object-Injection-Schwachstellen ergeben sich aus der Übergabe nicht vertrauenswürdiger Daten an unserialize(). Der Fall zeigt, dass auch eine nachgelagerte Hilfskomponente einen vollständigen Server-Zugriff eröffnen kann. Die Kombination aus fehlender Authentifizierung und kritischem CVSS-Wert verweist auf ein hohes Risiko für betroffene Shops.

(ID:50866317)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung