MirasvitのFull Page Cache Warmerにおける信頼できないデータのデシリアライゼーションに関する脆弱性
| Title |
MirasvitのFull Page Cache Warmerにおける信頼できないデータのデシリアライゼーションに関する脆弱性
|
| Summary |
Mirasvit Full Page Cache Warmer for Magento 2のバージョン1.11.12以前には、未認証の攻撃者がCacheWarmerクッキーに細工されたシリアライズされたPHPオブジェクトを送信することにより、リモートコード実行を引き起こすPHPオブジェクトインジェクションの脆弱性が存在します。攻撃者は、Magentoおよびその依存関係に存在するガジェットチェーンと組み合わせて、PHPの組み込み関数unserialize()を制限なく呼び出す脆弱性を悪用し、サーバー上で任意のコードを実行できます。
|
| Possible impacts |
・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 26, 2026, midnight |
| Registration Date |
June 5, 2026, 10:50 a.m. |
| Last Update |
June 5, 2026, 10:50 a.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.8
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Affected System
| Mirasvit |
|
Full Page Cache Warmer 1.11.12 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月05日]
掲載 |
June 5, 2026, 10:50 a.m. |
NVD Vulnerability Information
CVE-2026-45247
| Summary |
Mirasvit Full Page Cache Warmer for Magento 2 before version 1.11.12 contains a PHP object injection vulnerability that allows unauthenticated attackers to achieve remote code execution by supplying a crafted serialized PHP object in the CacheWarmer cookie. Attackers can exploit the unrestricted call to PHP's native unserialize() function combined with gadget chains available in Magento and its dependencies to execute arbitrary code on the server.
|
| Publication Date |
May 27, 2026, 12:16 a.m. |
| Registration Date |
May 27, 2026, 4:08 a.m. |
| Last Update |
May 27, 2026, 12:16 a.m. |
Related information, measures and tools
Common Vulnerabilities List