CVE Catalog
EnglishPolski(English translation not available — showing Polish)

Actively exploited in the wild

Mirasvit Full Page Cache Warmer Deserialization of Untrusted Data Vulnerability

Mirasvit — Mirasvit Full Page Cache Warmer · Listed in the CISA KEV since 2026-06-03. This indicates confirmed attacks in production environments.

Required action: Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

CVE-2026-45247

CriticalCVSS 9.8KEV
Published: Updated: Translated: NVD NIST

Summary

Mirasvit Full Page Cache Warmer dla Magento 2 przed wersją 1.11.12 zawiera podatność na wstrzykiwanie obiektów PHP, która pozwala nieautoryzowanym atakującym na zdalne wykonanie kodu poprzez dostarczenie spreparowanego zserializowanego obiektu PHP w ciasteczku CacheWarmer. Wykorzystanie nieograniczonego wywołania funkcji PHP unserialize() w połączeniu z łańcuchami gadżetów dostępnymi w Magento i jego zależnościach umożliwia wykonanie dowolnego kodu na serwerze.

Risk Assessment

Podatność ta stwarza poważne ryzyko dla organizacji, ponieważ umożliwia atakującym zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem. Niezabezpieczone systemy mogą być narażone na różne formy ataków, w tym kradzież danych czy wprowadzenie złośliwego oprogramowania.

Recommendation

Zaleca się aktualizację Mirasvit Full Page Cache Warmer do wersji 1.11.12 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto przeprowadzić audyt bezpieczeństwa aplikacji oraz monitorować logi w celu wykrycia potencjalnych prób ataków.

Original NVD description (English source)

Mirasvit Full Page Cache Warmer for Magento 2 before version 1.11.12 contains a PHP object injection vulnerability that allows unauthenticated attackers to achieve remote code execution by supplying a crafted serialized PHP object in the CacheWarmer cookie. Attackers can exploit the unrestricted call to PHP's native unserialize() function combined with gadget chains available in Magento and its dependencies to execute arbitrary code on the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS