El 3 de junio de 2026, la Agencia de Ciberseguridad y Seguridad de la Infraestructura de EE. UU. (CISA) incluyó la vulnerabilidad CVE-2026-45247 en el catálogo Known Exploited Vulnerabilities (KEV), confirmando el hecho de su explotación activa. La vulnerabilidad afecta a Mirasvit Full Page Cache Warmer, una popular extensión de caché de páginas para la plataforma Magento, y recibió una puntuación de 9,8 sobre 10 en la escala CVSS, lo que corresponde a un nivel de criticidad máximo. El problema permite a un atacante no autenticado ejecutar código PHP arbitrario en el servidor a través de una cookie especialmente diseñada. Todos los propietarios de tiendas Magento que tengan instalada la extensión Mirasvit Cache Warmer deben actualizar inmediatamente a la versión 1.11.12 o superior.
Mecanismo de la vulnerabilidad
Según la descripción de CISA, CVE-2026-45247 es una vulnerabilidad de deserialización de datos no confiables (CWE-502). La extensión Mirasvit Full Page Cache Warmer procesa una cookie con el nombre CacheWarmer, que se envía en las solicitudes habituales a la tienda. Una parte del valor de esta cookie se pasa a la función nativa de PHP unserialize() sin ningún tipo de validación ni saneamiento de los datos de entrada.
De acuerdo con los investigadores de la empresa neerlandesa Sansec, que publicaron un análisis técnico de la vulnerabilidad, dado que el valor de la cookie está completamente bajo el control del cliente, un atacante puede inyectar objetos PHP arbitrarios, en una clásica ataque de tipo PHP Object Injection. En combinación con las cadenas de “gadgets” (gadget chains) ya presentes en la base de código de Magento y sus dependencias, la inyección de objetos se eleva a una ejecución remota de código (RCE) plenamente funcional.
Características clave de la vulnerabilidad:
- CVE ID: CVE-2026-45247
- CVSS: 9,8 (crítica)
- Versiones afectadas: todas las versiones de Mirasvit Full Page Cache Warmer anteriores a la 1.11.12
- Vector de ataque: red, sin autenticación, mediante una solicitud HTTP con una cookie maliciosa
- Parche: según los datos disponibles, publicado el 25 de mayo de 2026 (versión 1.11.12)
Es fundamental subrayar que la explotación no requiere autenticación ni privilegios administrativos: basta con enviar cualquier solicitud a la tienda con una cookie preparada. Esto hace que la vulnerabilidad sea trivial de explotar y extremadamente peligrosa para cualquier tienda Magento accesible públicamente que tenga instalada la extensión.
Actividad de explotación observada
La empresa Imperva (propiedad de Thales) informó de ataques reales que aprovechan CVE-2026-45247. Según la compañía, las cargas útiles observadas contenían objetos PHP serializados en codificación Base64, diseñados para activar la deserialización y ejecutar código a través de cadenas de gadgets conocidas. En particular, los atacantes intentaban invocar las funciones system() y current() para ejecutar comandos arbitrarios en el servidor.
Como señala Imperva, en varios de los casos registrados los atacantes utilizaron comandos de prueba destinados a confirmar la posibilidad de ejecución de código. Este es un comportamiento característico de la fase de reconocimiento: primero los atacantes identifican los sistemas vulnerables y después pasan a la explotación completa, que puede incluir la instalación de web shells, el robo de datos de tarjetas de pago o la implantación de malware.
Según Imperva, la actividad se dirige principalmente contra sitios de juegos y de negocios, y las regiones más atacadas son Estados Unidos, Reino Unido, Francia y Australia. Debe tenerse en cuenta que estos datos proceden de un único proveedor de soluciones de seguridad y pueden reflejar la especificidad de su base de clientes, y no el panorama completo de los ataques. Por el momento no existe atribución de la amenaza: se desconoce quién está detrás de la explotación.
Alcance del impacto potencial
Según la estimación de Sansec, alrededor de 6 000 tiendas en línea utilizan extensiones de Mirasvit, aunque la cifra real podría ser significativamente mayor, ya que redes de distribución de contenido (CDN) como Cloudflare ocultan algunas instalaciones. Conviene subrayar que se trata de una estimación de una única fuente de investigación y que no se dispone de datos precisos sobre el grado de difusión de la extensión.
Magento sigue siendo una de las principales plataformas de comercio electrónico, y su ecosistema de extensiones ha sido tradicionalmente un objetivo atractivo para los atacantes. La compromisión de una tienda Magento mediante RCE abre la puerta a un amplio abanico de ataques: desde el robo de datos de tarjetas de pago (ataques de tipo Magecart) hasta el uso del servidor como punto de apoyo para una intrusión más profunda en la infraestructura.
Recomendaciones para detección y protección
A los organismos civiles federales del poder ejecutivo de EE. UU. se les ha ordenado mitigar la vulnerabilidad antes del 6 de junio de 2026. Sin embargo, habida cuenta de la criticidad del problema y de la explotación activa ya confirmada, se recomienda una actualización inmediata a todas las organizaciones afectadas sin excepción.
Pasos para la remediación:
- Actualice la extensión Mirasvit Full Page Cache Warmer a la versión 1.11.12 o superior.
- Si no es posible actualizar de inmediato, desactive temporalmente la extensión hasta aplicar el parche.
- Realice una auditoría de los registros del servidor web para detectar solicitudes que contengan la cookie
CacheWarmercon un valor sospechoso.
Indicadores de compromiso y detección:
Sansec recomienda revisar las solicitudes dirigidas a la tienda en busca de la cookie CacheWarmer cuyo valor contenga el marcador CacheWarmer: seguido de una cadena en codificación Base64. Los objetos PHP serializados en Base64 comienzan con las secuencias características Tz, Qz o YT. De este modo, un valor de cookie que se ajuste al patrón CacheWarmer:(Tz|Qz|YT) constituye un fuerte indicador de intento de explotación. Este patrón puede utilizarse en reglas de WAF y sistemas de monitorización para bloquear y generar alertas.
La inclusión de CVE-2026-45247 en el catálogo KEV de CISA en menos de diez días desde la publicación del parche subraya la rapidez con la que los atacantes adoptan vulnerabilidades críticas en componentes de comercio electrónico. Los propietarios de tiendas Magento con la extensión Mirasvit Cache Warmer deben considerar la actualización a la versión 1.11.12 como una tarea de máxima prioridad: cada día de retraso significa que la tienda permanece expuesta a la ejecución no autenticada de código arbitrario.
