Thought Leadership
Die US-Behörde CISA warnt vor einer kritischen Schwachstelle in der Magento-Erweiterung Mirasvit Cache Warmer, die bereits für Angriffe genutzt wird.
Die US-amerikanische Cybersicherheitsbehörde CISA hat eine dringende Sicherheitswarnung für Betreiber von E-Commerce-Plattformen herausgegeben. Betroffen ist die Erweiterung Full Page Cache Warmer für das Shopsystem Magento 2 und Adobe Commerce des Entwicklers Mirasvit. Die Schwachstelle wird unter der Kennung CVE-2026-45247 geführt und weist mit einem Wert von 9,8 auf der CVSS-Skala eine kritische Risikostufe auf.
Da die Sicherheitslücke bereits aktiv im Internet ausgenutzt wird, um Schadcode aus der Ferne auf Servern auszuführen, hat die CISA den Fehler in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. US-Bundesbehörden wurden angewiesen, die Systeme innerhalb von drei Tagen zu patchen. Die Schwachstelle wurde am 26. Mai 2026 öffentlich bekannt gemacht. Nach Beobachtungen des Sicherheitsunternehmens Imperva begannen Angreifer unmittelbar nach der Offenlegung mit der Ausnutzung des Fehlers.
Hacker kontrollieren Objekte, die PHP rekonstruiert
Die betroffene Erweiterung dient der Optimierung von Ladezeiten, indem sie den Cache-Status von Shopseiten überwacht und automatisch aktuelle Versionen in den Zwischenspeicher lädt. Die Sicherheitslücke basiert auf einer unzureichenden Überprüfung von Eingabedaten bei der Deserialisierung von PHP-Objekten. Angreifer können manipulierte, serialisierte PHP-Objekte in das CacheWarmer-Cookie einschleusen. Das System verarbeitet diese Daten, ohne die zu instanziierenden Klassen zu beschränken.
Das IT-Sicherheitsunternehmen Sansec beschreibt den Angriffsmechanismus wie folgt: „Ein Angreifer kontrolliert die Objekte, die PHP rekonstruiert. Dies ist eine PHP-Objekt-Injektion (CWE-502). Kombiniert mit einer Gadget-Chain aus Klassen, die Magento und seine Abhängigkeiten bereits mitliefern, eskaliert die Objekt-Injektion zu einer Remote-Code-Ausführung.“ Dadurch erlangen nicht authentifizierte Angreifer die Möglichkeit, beliebigen Programmcode direkt auf den zugrundeliegenden Webservern auszuführen.
Online-Shops mit Version des Cache Warmers vor Version 1.11.12 betroffen
Nach Angaben von Sansec ist die Erweiterung von Mirasvit auf tausenden Handelsplattformen im Einsatz. Potenzial gefährdet sind alle Onlineshops, welche eine Version des Cache Warmers vor der fehlerbereinigten Version 1.11.12 nutzen. Zur Absicherung der Infrastruktur wird allen betroffenen Unternehmen dringend empfohlen, die Installation umgehend auf die Version 1.11.12 oder neuer zu aktualisieren, da diese Versionen entsprechende Schutzmechanismen enthalten.
Administratoren können bestehende Kompromittierungsversuche in den Server-Protokollen identifizieren. Hierzu müssen die Storefront-Anfragen auf das Vorhandensein des CacheWarmer-Cookies überprüft werden, das spezifische Merkmale aufweist. Sansec erläuterte die Erkennungsregel: „Serialisierte PHP-Objekte werden in Base64-Werte codiert, die mit Tz, Qz oder YT beginnen, sodass ein CacheWarmer-Cookie-Wert, der auf CacheWarmer:(Tz|Qz|YT) passt, ein starker Indikator für einen Ausnutzungsversuch ist,“.
(red)
