Krytyczna luka w Mirasvit Full Page Cache Warmer umożliwiająca zdalne wykonanie kodu

Krytyczna podatność w Mirasvit Full Page Cache Warmer umożliwia zdalne wykonanie kodu. Zalecana szybka aktualizacja i monitorowanie systemu.
CVE-2026-45247CVSS 9.3CISA KEVWeb

Krytyczna luka w Mirasvit Full Page Cache Warmer umożliwiająca zdalne wykonanie kodu

Krytyczna podatność w Mirasvit Full Page Cache Warmer umożliwia zdalne wykonanie kodu. Zalecana szybka aktualizacja i monitorowanie systemu.

CVSS
9.3 CRITICAL
EPSS
97.83%
Aktywnie wykorzystywana
tak
Produkt
Mirasvit Full Page Cache Warmer

Co wiadomo

Wersje Mirasvit Full Page Cache Warmer dla Magento 2 starsze niż 1.11.12 zawierają podatność na wstrzyknięcie obiektu PHP poprzez nieautoryzowaną deserializację danych. Atakujący mogą przesłać spreparowany obiekt w ciasteczku CacheWarmer, co pozwala na zdalne wykonanie dowolnego kodu na serwerze.

Wpływ biznesowy

Ta krytyczna luka o wysokim wyniku CVSS 9.3 umożliwia atakującym przejęcie kontroli nad serwerem bez uwierzytelnienia, co może prowadzić do poważnych naruszeń bezpieczeństwa, utraty danych i zakłóceń w działaniu usług e-commerce opartych na Magento. Operatorzy infrastruktury powinni traktować tę podatność priorytetowo ze względu na jej potencjalne skutki biznesowe.

Rekomendowane działania administratora

Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji i zastosowanie najnowszej wersji Mirasvit Full Page Cache Warmer. W przypadku braku możliwości natychmiastowej aktualizacji, należy ograniczyć ekspozycję usługi, monitorować logi pod kątem podejrzanej aktywności oraz przeprowadzić ocenę ryzyka i priorytetyzację działań naprawczych.

Źródła