Origine : bjCSIRT
Numéro : 2026/ALERTE/046
APERÇU :
Une vulnérabilité affectant Mirasvit Full Page Cache Warmer permettrait à un acteur malveillant non authentifié de provoquer une exécution de code arbitraire à distance sur les systèmes affectés.
DESCRIPTION
Mirasvit Full Page Cache Warmer est une extension pour Magento 2 et Adobe Commerce, utilisée pour optimiser les performances des boutiques en ligne via la gestion du cache.
Cet outil est affecté par la vulnérabilité libellée CVE-2026-45247, due à une désérialisation non sécurisée des données transmises via le cookie CacheWarmer. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié, en envoyant des requêtes spécialement conçues, d’exécuter du code arbitraire à distance sur les systèmes affectés.
Elle est classée critique avec un score de sévérité de 9.8 selon le CVSS V3.1.
IMPACT
- Exécution de code arbitraire à distance ;
- Compromission totale du serveur ;
- Divulgation d’informations sensibles ;
- Atteinte à l’intégrité et à la disponibilité du système.
SYSTEMES AFFECTÉS
Mirasvit Full Page Cache Warmer pour Magento 2, toutes versions antérieures à 1.11.12.
MESURES À PRENDRE :
Mettre à jour Mirasvit Full Page Cache Warmer vers la version 1.11.12 ou ultérieure.
RÉFÉRENCES :
- https://www.cve.org/CVERecord?id=CVE-2026-45247
- https://nvd.nist.gov/vuln/detail/CVE-2026-45247
- https://sansec.io/research/mirasvit-cache-warmer-object-injection
- https://www.vulncheck.com/advisories/mirasvit-cache-warmer-for-magento-php-object-injection
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://mirasvit.com/package/changelog/?package=mirasvit/module-cache-warmer