Aller au contenu
Kreomnis.Vigie
CVE-2026-45247Critique9.8 KEV

Mirasvit Full Page Cache Warmer : un cookie désérialisé qui ouvre la RCE sur Magento

Publiée le 10/06/2026// Kreomnis
CVSS 3.1
9.8
EPSS : probabilité d'exploitation
-
Source : FIRST.org, modèle EPSS v3
Produits/versions affectés
  • Mirasvit Full Page Cache Warmer < 1.11.12 (Magento 2 / Adobe Commerce)
CISA KEV : exploitation observée

Cette vulnérabilité est inscrite au catalogue des vulnérabilités activement exploitées de la CISA. Traitement prioritaire recommandé.

Le contexte

CVE-2026-45247 est une désérialisation de données non fiables (CWE-502), dite injection d'objet PHP, dans l'extension Mirasvit Full Page Cache Warmer pour Magento 2 / Adobe Commerce. CVSS 9.8, sans authentification, déjà exploitée dans la nature. CISA l'a ajoutée au KEV le 3 juin 2026 (échéance fédérale au 6 juin).

C'est un sujet de niche (écosystème Magento), d'où ce débrief court, mais le score, l'absence d'authentification et l'exploitation active le rendent prioritaire pour quiconque opère une boutique Magento avec cette extension.

La mécanique

L'extension passe une partie de la valeur d'un cookie directement à la fonction native unserialize() de PHP, sans restreindre les classes instanciables. Comme le cookie provient du client, l'attaquant contrôle les objets que PHP reconstruit.

En fournissant des objets sérialisés spécialement forgés, il déclenche une chaîne de désérialisation (POP chain) aboutissant à l'exécution de code malveillant sur le serveur. Classique de l'object injection PHP, mais ici exposé sans authentification via un simple cookie.

Versions impactées

| Produit | Version | Statut | | --- | --- | --- | | Mirasvit Full Page Cache Warmer | < 1.11.12 | Vulnérable | | Mirasvit Full Page Cache Warmer | 1.11.12 (25 mai 2026) et ultérieures | Corrigée |

Remédiation

  1. Mettre à jour l'extension vers ≥ 1.11.12 sans délai (KEV, échéance 6 juin).
  2. Présumer la compromission si la boutique était exposée : rechercher webshells, comptes admin ajoutés, skimmers (Magecart) injectés côté front.
  3. Durcissement : ne jamais passer de données client à unserialize() sans allowlist de classes ; auditer les autres extensions Magento sur ce motif.
  4. Frontal : un WAF à jour peut bloquer les payloads d'object injection connus, en complément du patch.

Ce qu'il faut retenir

unserialize() sur une valeur de cookie, sans filtrage de classes : la recette historique de la RCE PHP. Niche Magento, mais 9.8 et exploité : à patcher et à investiguer comme une compromission e-commerce.

Pour les RSSI et équipes e-commerce :

  • MAJ 1.11.12 et chasse aux IoC (webshells, skimmers, comptes admin).

  • Auditez le motif unserialize(données client) dans tout votre stack PHP / Magento.

  • L'e-commerce est une cible d'extorsion et de skimming : une RCE non-auth sur la boutique met en jeu données clients et moyens de paiement.

  • Kreomnis

Références

#magento#mirasvit#php-object-injection#deserialization#kev