Alerta de Seguridad: Deserialización de datos no confiables en Mirasvit Full Page Cache Warmer permite RCE no autenticado (CVE-2026-45247)

Contexto técnico: CVE-2026-45247 afecta al módulo Mirasvit Full Page Cache Warmer para Magento/Adobe Commerce (CWE-502: Deserialización de datos no confiables). La vulnerabilidad reside en el procesamiento inseguro del valor de la cookie CacheWarmer, cuyo contenido es deserializado mediante el mecanismo nativo de PHP (unserialize()) sin validación ni sanitización previa.

Mecanismo de explotación: Un atacante no autenticado puede forjar una petición HTTP arbitraria hacia cualquier endpoint de la tienda Magento que invoque la lógica del módulo de caché, incluyendo en la cabecera Cookie un objeto PHP serializado y manipulado artesanalmente (técnica conocida como PHP Object Injection). Al deserializar dicho objeto, el motor de PHP puede ser inducido a ejecutar métodos mágicos (__wakeup(), __destruct(), __toString(), etc.) encadenados mediante una POP chain (Property-Oriented Programming), lo que permite alcanzar ejecución de código arbitrario en el contexto del servidor web, sin necesidad de credenciales previas.

Impacto potencial: La explotación exitosa otorga al atacante capacidad de Ejecución Remota de Código (RCE) con los privilegios del proceso del servidor web. Esto puede derivar en: exfiltración de datos sensibles (credenciales de base de datos, claves de API, datos de tarjetas de pago PCI DSS), despliegue de webshells persistentes, movimiento lateral en la infraestructura interna, y potencialmente el despliegue de ransomware u otro malware destructivo. La naturaleza no autenticada del vector amplifica significativamente la superficie de exposición en instancias de Magento públicamente accesibles.

Estado de explotación: La vulnerabilidad figura en el catálogo Known Exploited Vulnerabilities (KEV) de CISA, lo que indica evidencia de explotación activa en entornos reales. El uso en campañas de ransomware figura como Unknown en el momento de publicación de este boletín.

• Aplicar el parche del fabricante de forma inmediata: Consultar el changelog oficial del módulo mirasvit/module-cache-warmer en https://mirasvit.com/package/changelog/?package=mirasvit/module-cache-warmer e instalar la versión parcheada más reciente disponible mediante Composer: composer update mirasvit/module-cache-warmer.
• Plazo límite FCEB (BOD 22-01): Las agencias federales estadounidenses deben aplicar las mitigaciones antes del 6 de junio de 2026. Se recomienda el mismo plazo de urgencia para entornos de infraestructura crítica y comercio electrónico.
• Medidas de mitigación temporales (si el parche no está disponible): Considerar deshabilitar o restringir el módulo mirasvit/module-cache-warmer hasta que el parche sea aplicable. Implementar reglas en el WAF (Web Application Firewall) para inspeccionar y bloquear cookies CacheWarmer con contenido serializado PHP sospechoso (patrones como O:, a: seguidos de longitud y llaves).
• Implementar controles de seguridad adicionales: Activar monitorización de integridad de archivos (FIM) en el servidor Magento para detectar modificaciones no autorizadas. Revisar logs de acceso en busca de peticiones anómalas con cookies de gran tamaño o con patrones de serialización PHP.
• Revisar la infraestructura tras exposición: Si el módulo ha estado expuesto sin parche, realizar análisis forense del servidor en busca de webshells, tareas cron maliciosas o cuentas de administrador no autorizadas en Magento.
• Seguir las directrices de CISA BOD 22-01: Para servicios en la nube, aplicar las guías específicas de CISA disponibles en https://www.cisa.gov/binding-operational-directive-22-01. Si no existen mitigaciones aplicables, discontinuar el uso del producto según instrucción CISA.
• Gestión de dependencias Composer: Ejecutar composer audit regularmente para identificar vulnerabilidades en dependencias del proyecto Magento.