CVE-2026-45247 in Mirasvit Cache Warmer: RCE-Risiko für Magento-Shops

Foto des Autors

CyberSecureFox Editorial Team

Veröffentlicht:

Am 3. Juni 2026 hat die US-Behörde Cybersecurity and Infrastructure Security Agency (CISA) die Schwachstelle CVE-2026-45247 in den Katalog Known Exploited Vulnerabilities (KEV) aufgenommen und damit ihre aktive Ausnutzung bestätigt. Die Schwachstelle betrifft Mirasvit Full Page Cache Warmer – eine beliebte Erweiterung für das Caching von Seiten der Plattform Magento – und wurde mit 9,8 von 10 Punkten auf der CVSS-Skala bewertet, was einem kritischen Schweregrad entspricht. Das Problem ermöglicht es einem nicht authentifizierten Angreifer, über ein speziell präpariertes Cookie beliebigen PHP-Code auf dem Server auszuführen. Allen Betreibern von Magento-Shops mit installierter Erweiterung Mirasvit Cache Warmer wird dringend geraten, sofort auf Version 1.11.12 oder höher zu aktualisieren.

Mechanismus der Schwachstelle

Laut Beschreibung der CISA handelt es sich bei CVE-2026-45247 um eine Schwachstelle durch Deserialisierung nicht vertrauenswürdiger Daten (CWE-502). Die Erweiterung Mirasvit Full Page Cache Warmer verarbeitet ein Cookie mit dem Namen CacheWarmer, das bei regulären Anfragen an das Schaufenster des Shops übermittelt wird. Ein Teil des Werts dieses Cookies wird ohne jegliche Validierung oder Bereinigung der Eingabedaten an die native PHP-Funktion unserialize() übergeben.

Nach Angaben der Forscher des niederländischen Unternehmens Sansec, die eine technische Analyse der Schwachstelle veröffentlicht haben, kann ein Angreifer, da der Cookie-Wert vollständig vom Client kontrolliert wird, beliebige PHP-Objekte einschleusen – eine klassische PHP Object Injection. In Kombination mit Gadget Chains, die bereits in der Codebasis von Magento und seinen Abhängigkeiten vorhanden sind, eskaliert die Objekteinjection zu einer vollwertigen Remote Code Execution (RCE).

Die wichtigsten Merkmale der Schwachstelle:

  • CVE ID: CVE-2026-45247
  • CVSS: 9.8 (kritisch)
  • Betroffene Versionen: alle Versionen von Mirasvit Full Page Cache Warmer vor 1.11.12
  • Angriffsvektor: netzwerkbasiert, ohne Authentifizierung, über eine HTTP-Anfrage mit bösartigem Cookie
  • Patch: nach vorliegenden Informationen veröffentlicht am 25. Mai 2026 (Version 1.11.12)

Wesentlich ist, dass für die Ausnutzung weder Authentifizierung noch administrative Privilegien erforderlich sind – es genügt, irgendeine Anfrage an das Schaufenster des Shops mit einem vorbereiteten Cookie zu senden. Dadurch ist die Schwachstelle trivial auszubeuten und äußerst gefährlich für jeden öffentlich zugänglichen Magento-Shop mit installierter Erweiterung.

Beobachtete Ausnutzungsaktivität

Das Unternehmen Imperva (im Besitz von Thales) hat mitgeteilt, dass reale Angriffe unter Ausnutzung von CVE-2026-45247 beobachtet wurden. Nach Angaben des Unternehmens enthielten die beobachteten Payloads serialisierte PHP-Objekte in Base64-Kodierung, die dazu bestimmt waren, eine Deserialisierung und Codeausführung über bekannte Gadget Chains auszulösen. Insbesondere versuchten Angreifer, die Funktionen system() und current() aufzurufen, um beliebige Befehle auf dem Server auszuführen.

Wie Imperva feststellt, verwendeten die Angreifer in einer Reihe dokumentierter Fälle Testbefehle, die auf die Bestätigung der Möglichkeit zur Codeausführung abzielten. Dieses Verhalten ist typisch für die Aufklärungsphase: Zunächst identifizieren Angreifer verwundbare Systeme, bevor sie zur vollständigen Ausnutzung übergehen – etwa durch Einschleusen von Webshells, Diebstahl von Zahlungsdaten oder Installation von Schadsoftware.

Nach Angaben von Imperva richtet sich die Aktivität überwiegend gegen Spiele- und Business-Websites; am häufigsten betroffen sind die Regionen USA, Vereinigtes Königreich, Frankreich und Australien. Dabei ist zu berücksichtigen, dass diese Daten von einem einzelnen Schutzanbieter stammen und die Besonderheiten seiner Kundenbasis widerspiegeln können, ohne das vollständige Bild der Angriffe abzubilden. Eine Attribution der Bedrohung liegt derzeit nicht vor – wer hinter der Ausnutzung steht, ist unbekannt.

Ausmaß der potenziellen Auswirkungen

Nach Einschätzung von Sansec nutzen rund 6 000 Onlineshops Erweiterungen von Mirasvit, wobei die tatsächliche Zahl deutlich höher sein kann, da Content Delivery Networks (CDN) wie Cloudflare Installationen verschleiern. Es ist zu betonen, dass es sich hierbei um eine Schätzung einer einzelnen Forschungsquelle handelt und keine genauen Daten über das Ausmaß der Verbreitung der Erweiterung vorliegen.

Magento bleibt eine der führenden E‑Commerce-Plattformen, und ihr Erweiterungsökosystem ist traditionell ein attraktives Ziel für Angreifer. Die Kompromittierung eines Magento-Shops über RCE eröffnet ein breites Spektrum an Angriffen: von der Entwendung von Zahlungsdaten (Angriffe vom Typ Magecart) bis hin zur Nutzung des Servers als Sprungbrett für ein weiteres Vordringen in die Infrastruktur.

Empfehlungen zu Erkennung und Schutz

Zivilen Bundesbehörden der Exekutive in den USA ist vorgeschrieben, die Schwachstelle bis zum 6. Juni 2026 zu beheben. Angesichts der Kritikalität des Problems und der bestätigten aktiven Ausnutzung wird jedoch allen betroffenen Organisationen ohne Ausnahme ein sofortiges Update empfohlen.

Schritte zur Behebung:

  1. Aktualisieren Sie die Erweiterung Mirasvit Full Page Cache Warmer auf Version 1.11.12 oder höher.
  2. Ist ein sofortiges Update nicht möglich – deaktivieren Sie die Erweiterung vorübergehend, bis der Patch eingespielt ist.
  3. Führen Sie einen Audit der Webserver-Logs auf Anfragen durch, die das Cookie CacheWarmer mit einem verdächtigen Wert enthalten.

Kompromittierungsindikatoren und Erkennung:

Sansec empfiehlt, Anfragen an das Schaufenster des Shops auf das Vorhandensein eines Cookies CacheWarmer zu prüfen, dessen Wert den Marker CacheWarmer: enthält, gefolgt von einer Zeichenkette in Base64-Kodierung. Serialisierte PHP-Objekte in Base64 beginnen mit charakteristischen Sequenzen Tz, Qz oder YT. Ein Cookie-Wert, der dem Muster CacheWarmer:(Tz|Qz|YT) entspricht, ist somit ein starker Indikator für einen Ausnutzungsversuch. Dieses Muster kann in WAF-Regeln und Überwachungssystemen zur Blockierung und Alarmierung eingesetzt werden.

Die Aufnahme von CVE-2026-45247 in den CISA-KEV-Katalog weniger als zehn Tage nach Veröffentlichung des Patches unterstreicht das Tempo, mit dem Angreifer kritische Schwachstellen in E‑Commerce-Komponenten übernehmen. Betreiber von Magento-Shops mit der Erweiterung Mirasvit Cache Warmer sollten das Update auf Version 1.11.12 als Aufgabe mit höchster Priorität betrachten – jeder Tag Verzögerung bedeutet, dass der Shop für nicht authentifizierte Ausführung beliebigen Codes offen bleibt.

Foto des Autors

CyberSecureFox Editorial Team

Die CyberSecureFox-Redaktion berichtet über Cybersecurity-News, Schwachstellen, Malware-Kampagnen, Ransomware-Aktivitäten, AI Security, Cloud Security und Security Advisories von Herstellern. Die Beiträge werden auf Grundlage von official advisories, CVE/NVD-Daten, CISA-Meldungen, Herstellerveröffentlichungen und öffentlichen Forschungsberichten erstellt. Artikel werden vor der Veröffentlichung geprüft und bei neuen Informationen aktualisiert.

Schreibe einen Kommentar

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

CyberSecureFox

© 2026 INFO

Über uns

Über CyberSecureFox

Autoren

Kontakt

Redaktion

Redaktionelle Standards

Korrekturen

Rechtliches

Datenschutzerklärung

Nutzungsbedingungen