Mirasvit Full Page Cache Warmer PHP对象注入漏洞(CVE-2026-45247)

北京赛克艾威科技有限公司 2026-05-26


  • 漏洞编号:CVE-2026-45247
  • 漏洞等级:严重
  • 漏洞标签:CISA KEV、在野利用、POC公开、关键漏洞
  • 发布时间:2026-05-26

漏洞描述

Mirasvit Full Page Cache Warmer是专为Magento 2电商平台设计的全页缓存预热扩展插件,用于自动遍历和缓存网站页面以提升访问速度和用户体验。该插件在1.11.12之前的版本中存在安全缺陷,由于程序未对用户提交的CacheWarmer Cookie数据进行充分验证和过滤,导致攻击者可以向该Cookie注入精心构造的序列化PHP对象。当应用程序调用PHP原生unserialize\(\)函数处理该Cookie数据时,会触发反序列化操作,结合Magento框架及其依赖库中存在的gadget链,攻击者能够在服务器上执行任意代码,完全控制目标系统。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/463388