CIBERPLANETA_
18 Jun 2026 · 02:16 Ciberplaneta News Vulnerabilidades 5 min de lectura
CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado

CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado

Introducción

El CVE-2026-45247 es una vulnerabilidad crítica de deserialización de datos no confiables (CWE-502) identificada en el módulo Mirasvit Full Page Cache Warmer para plataformas Magento/Adobe Commerce. Su inclusión en el catálogo KEV (Known Exploited Vulnerabilities) de la CISA confirma que está siendo activamente explotada en entornos reales, lo que eleva considerablemente su nivel de riesgo para cualquier organización que utilice esta extensión en producción.

La vulnerabilidad permite a atacantes no autenticados ejecutar código arbitrario en el servidor remoto mediante la inyección de un objeto PHP serializado malicioso a través de la cookie CacheWarmer. Dado que no se requiere ningún tipo de autenticación previa, el vector de ataque es especialmente peligroso y susceptible de automatización masiva.

Análisis Técnico

Naturaleza de la vulnerabilidad: CWE-502 (Deserialización de datos no confiables)

La deserialización insegura es una clase de vulnerabilidad recurrente en aplicaciones PHP que procesan datos controlados por el usuario sin validación ni sanitización adecuada. En este caso concreto, el módulo Mirasvit Full Page Cache Warmer lee y deserializa el contenido de la cookie CacheWarmer sin verificar su integridad ni su origen. Un atacante puede manipular libremente el valor de dicha cookie desde el navegador o mediante cualquier cliente HTTP.

El mecanismo de explotación sigue el patrón clásico de PHP Object Injection:

  • El atacante construye un objeto PHP serializado que encadena clases disponibles en el contexto de la aplicación (conocidas como gadget chains).
  • Dicho objeto se codifica y se inyecta como valor de la cookie CacheWarmer en una petición HTTP ordinaria.
  • El servidor deserializa el objeto, disparando métodos mágicos como __wakeup(), __destruct() o __toString() que forman parte de la cadena de gadgets.
  • La ejecución de la cadena de gadgets resulta en Remote Code Execution (RCE) con los privilegios del proceso del servidor web.

Frameworks como Magento 2 incorporan múltiples dependencias de terceros (Symfony, Laminas, Monolog, etc.) que exponen gadget chains bien documentadas y disponibles en herramientas públicas como PHPGGC. Esto reduce significativamente la barrera técnica para un atacante.

Vector de ataque

De acuerdo con la descripción oficial de la CISA, el ataque se realiza a través de una petición HTTP con una cookie manipulada, lo que implica:

  • Vector de red (AV:N): exploitable de forma remota sin acceso físico ni local.
  • Sin autenticación requerida (PR:N / UI:N): cualquier visitante anónimo puede intentar la explotación.
  • Alta complejidad de impacto: un RCE exitoso otorga al atacante control total sobre el servidor.

La puntuación CVSS aún no está disponible oficialmente en el momento de publicación de este artículo, sin embargo, las características descritas apuntan a una puntuación base muy elevada, probablemente en el rango 9.x (Crítico).

Impacto

Las consecuencias de una explotación exitosa del CVE-2026-45247 son extremadamente graves y pueden incluir:

  • Ejecución remota de código arbitrario (RCE): el atacante puede ejecutar cualquier comando en el servidor con los privilegios del proceso web.
  • Exfiltración de datos sensibles: credenciales de base de datos, claves de API, datos de tarjetas de pago almacenadas, información personal de clientes (PII).
  • Instalación de webshells o backdoors: para mantener persistencia en el sistema comprometido.
  • Despliegue de malware o ransomware: aunque el uso en campañas de ransomware se clasifica actualmente como Unknown, la naturaleza del vector (RCE no autenticado) lo hace un candidato directo para ser weaponizado en este tipo de ataques.
  • Movimiento lateral: desde el servidor comprometido hacia otros sistemas de la red interna.
  • Daño reputacional y regulatorio: incumplimiento de normativas como PCI-DSS, GDPR o LOPD-GDD en caso de brechas de datos de clientes de e-commerce.

El contexto de uso típico de Mirasvit Full Page Cache Warmer —tiendas Magento/Adobe Commerce en producción con datos de clientes y transacciones financieras— amplifica considerablemente el impacto potencial de esta vulnerabilidad.

Productos Afectados

La vulnerabilidad afecta al módulo Mirasvit Full Page Cache Warmer (mirasvit/module-cache-warmer) para plataformas Magento 2 / Adobe Commerce. Se recomienda consultar el changelog oficial del proveedor para identificar las versiones vulnerables y las versiones parcheadas:

  • Módulo: mirasvit/module-cache-warmer
  • Plataforma base afectada: Magento 2 y Adobe Commerce (todas las ediciones que empleen este módulo)
  • Versiones afectadas específicas: consultar el changelog oficial de Mirasvit para determinar el rango exacto de versiones vulnerables.

Recomendaciones y Mitigaciones

La CISA, en virtud de la directiva BOD 22-01, exige que las agencias del gobierno federal de EE. UU. apliquen las mitigaciones disponibles en los plazos establecidos. Para el resto de organizaciones, se recomienda encarecidamente seguir las siguientes acciones de forma urgente:

Acciones inmediatas

  • Actualizar el módulo: aplicar la versión parcheada publicada por Mirasvit lo antes posible. Revisar el changelog oficial del proveedor para identificar la versión que corrige la vulnerabilidad.
  • Deshabilitar el módulo temporalmente: si no es posible actualizar de forma inmediata, considerar deshabilitar el módulo hasta que el parche pueda aplicarse en un entorno de pruebas y desplegarse con seguridad.
  • Revisar logs de acceso: analizar los registros del servidor web en busca de peticiones con valores inusuales o codificados en base64 en la cookie CacheWarmer, indicativo de intentos de explotación.
  • Implementar reglas WAF: desplegar reglas específicas en el Web Application Firewall para inspeccionar y bloquear cookies que contengan payloads serializados PHP (patrones como O:, a:, estructuras de objetos PHP serializados).

Medidas complementarias

  • Realizar un análisis forense del servidor para detectar posibles webshells o modificaciones en el sistema de ficheros si se sospecha de una explotación previa.
  • Restringir el acceso al servidor de aplicaciones mediante listas de control de acceso (ACL) o reglas de firewall de red donde sea operativamente viable.
  • Aplicar el principio de mínimo privilegio al proceso del servidor web para limitar el impacto de un RCE.
  • Activar la monitorización de integridad de ficheros (FIM) en directorios críticos de la aplicación.
  • Suscribirse a las notificaciones de seguridad de Mirasvit y a los boletines de CISA para recibir alertas tempranas sobre futuras vulnerabilidades.

En caso de que las mitigaciones no estén disponibles o no puedan aplicarse, la CISA recomienda explícitamente discontinuar el uso del producto hasta que exista una solución adecuada.

Referencias Oficiales

// compartir: X Telegram LinkedIn WhatsApp
// ¿qué te parece este artículo?
// comentarios (0)
// sin comentarios aún
inicia sesión o regístrate para comentar.
← volver
[INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·