Mirasvit Cache Warmer for Magento < 1.11.12 PHP Object Injection 漏洞概述 Mirasvit Full Page Cache Warmer for Magento 2 在版本 1.11.12 之前存在一个 PHP 对象注入漏洞。该漏洞允许未经身份验证的攻击者通过提供精心构造的序列化 PHP 对象在 CacheWarmer cookie 中实现远程代码执行。攻击者可以利用不受限制的 PHP 原生 函数调用,结合 Magento 及其依赖项中的 gadget 链,在服务器上执行任意代码。 影响范围 受影响软件: Mirasvit Full Page Cache Warmer for Magento 2 受影响版本: < 1.11.12 修复方案 升级到 Mirasvit Full Page Cache Warmer for Magento 2 版本 1.11.12 或更高版本。 参考链接 Sansec Disclosure Mirasvit Package Changelog 其他信息 严重性: CRITICAL 发布日期: 5/26/2026 CVE: CVE-2026-45247 CWE: CWE-502 Deserialization of Untrusted Data CVSS: 9.3 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N