CISA přidala 3. června 2026 do katalogu Known Exploited Vulnerabilities jednu novou položku. Zasažen je rozšířený plugin pro e-commerce platformu Magento.

CVE-2026-45247 postihuje plugin Full Page Cache Warmer for Magento 2 od společnosti Mirasvit (verze před 1.11.12). Jde o zranitelnost deserializace nedůvěryhodných dat (PHP object injection) s hodnocením CVSS 9.3 (Critical). Útočník bez autentizace může do požadavku vložit záměrně sestavený serializovaný PHP objekt prostřednictvím cookie CacheWarmer. Plugin předá hodnotu bez kontroly nativní funkci unserialize() a útočník ji zkombinuje s gadget chainy dostupnými v Magentu a jeho závislostech, čímž dosáhne vzdáleného spuštění libovolného kódu na serveru.

Zranitelnost je opravena ve verzi 1.11.12. Provozovatelé Magento 2 e-shopů s nainstalovaným pluginem Mirasvit Full Page Cache Warmer by měli aktualizaci provést neprodleně přes administraci Magenta nebo přímo z repozitáře Mirasvit. Pokud aktualizace není okamžitě možná, zvažte dočasné deaktivování pluginu nebo blokování cookie CacheWarmer na úrovni WAF.

Kontext: plugin Mirasvit Full Page Cache Warmer je populárním nástrojem pro zrychlení e-shopů na platformě Magento 2, protože předhřívá stránkovou cache simulovanými návštěvami. Právě tato funkce – přijímání a zpracování externích parametrů v cookie – se stala vstupním bodem pro exploit.