Podsumowanie
| Parametr | Wartość |
|---|---|
| CVE ID | CVE-2026-45247 |
| Źródło alertu | GitHub Advisory - Krytyczna podatność |
| Rok publikacji CVE | 2026 |
| Data publikacji | 2026-05-26 |
| Producent | Mirasvit |
| Produkt | Full Page Cache Warmer for Magento 2 |
| CVSS Score | 9.8 (Krytyczny) |
| EPSS Score | Brak danych |
| CISA KEV | Nie |
| Ransomware | Nie potwierdzono |
Opis podatności
Źródło: NVD
Mirasvit Full Page Cache Warmer for Magento 2 w wersjach starszych niż 1.11.12 zawiera podatność typu PHP object injection, która umożliwia nieuwierzytelnionym atakującym zdalne wykonanie kodu (remote code execution) poprzez dostarczenie spreparowanego, zserializowanego obiektu PHP w ciasteczku CacheWarmer. Atakujący mogą wykorzystać nieograniczone wywołanie natywnej funkcji PHP unserialize() w połączeniu z łańcuchami gadżetów (gadget chains) dostępnymi w Magento i jego zależnościach, aby wykonać dowolny kod na serwerze.
Wymagane działania
Zastosuj poprawki lub środki zaradcze producenta tak szybko, jak będą dostępne.
Kogo dotyczy?
Podatność dotyczy produktu Full Page Cache Warmer for Magento 2 firmy Mirasvit. Sprawdź czy Twoja organizacja używa tego oprogramowania i czy wymaga aktualizacji.
Źródła
Potrzebujesz wsparcia w zabezpieczeniu systemów? Zespół nFlo oferuje usługi zarządzania podatnościami oraz SOC 24/7. Skontaktuj się z nami.
