Kritisches Sicherheitslücke beim Magento-Cache-Plugin ermöglicht Remote-Code-Execution-Angriffe

Mirasvit Cache Warmer ist dazu entwickelt, vorab geladene Versionen für verschiedene Besucherarten zu generieren, wobei Unterschiede nach Währung, Kundengruppe und anderen Sitzungsdaten berücksichtigt werden. Um dies zu erreichen, werden Sitzungsdaten in einem Cookie verpackt und mit jeder Crawling-Anfrage übermittelt.

Auf der Serverseite liest ein Plugin dieses Cookie aus und passt die Sitzung entsprechend an, bevor die Seite gerendert wird. Das kritische Problem besteht darin, dass das Plugin einen Teil des Cookie-Werts direkt an die native PHP-Funktion `unserialize()` übergibt, ohne Klassenbeschränkungen oder Authentifizierungsprüfungen.

Da der Cookie-Wert vollständig auf der Client-Seite generiert wird, kann ein Angreifer ihn manipulieren, um beliebige PHP-Objekte einzuschleusen. Dies wird als PHP-Objekt-Injektion (CWE-502) bezeichnet.

Kombination mit einer Gadget-Kette – also

Kombination mit einer Gadget-Kette – also bösartiger Logik, die aus bereits Magento und dessen Abhängigkeiten enthaltenen Klassen zusammengesetzt ist – eskaliert diese Objekt-Injektion direkt zu einer Remote Code Execution (RCE).

Der Angriff wird bei jedem Storefront-Anfrage ausgelöst, nicht nur bei internen Cache-Warming-Verkehr, wodurch jede öffentlich zugängliche Magento-Store potenziell betroffen ist. Alle Versionen 1.11.12 sind anfällig. Die Erweiterung wird in mehreren anderen Mirasvit-Paketen mitgeliefert, sodass viele Händler möglicherweise unbemerkt davon ausgeführt werden.

Die Scans 6.000 Stores identifiziert, die Mirasvit-Erweiterungen nutzen; die tatsächliche Zahl dürfte jedoch deutlich höher sein, da CDNs wie Cloudflare viele Installationen vor externem Fingerprinting verbergen. Der Exploit hinterlässt in den Web-Logs einen erkennbaren Spur.

Technik und Auswirkungen

Sicherheitsteams sollten nach Storefront-Anfragen suchen, die ein Cookie namens CacheWarmer enthalten, dessen Wert mit „CacheWarmer:" beginnt und gefolgt Base64-Zeichenkette steht.

Serialisierte PHP-Objekte werden typischerweise Strings codiert, die mit „Tz", „Qz" oder „YT" beginnen – wodurch das Muster CacheWarmer:(Tz|Qz|YT) ein starkes Indiz für einen aktiven Exploitationsversuch darstellt. Mirasvit veröffentlichte die gepatchte Version 1.11.12 am 25. Mai 2026, nur wenige Tage nach der Benachrichtigung.

Store-Betreiber sollten unverzüglich handeln: Aktualisieren Sie jetzt: Aktualisieren Sie Mirasvit Cache Warmer auf Version 1.11.12 oder eine neuere Version.

Sicherheitslage und Risiko

Blockieren Sie Angriffe: Implementieren Sie eine Web Application Firewall, die Exploitationsversuche auf Basis üfung: Prüfen Sie auf Webshells, Hintertüren oder unerwartete PHP-Dateien in den Verzeichnissen pub/ und anderen webzugänglichen Verzeichnissen.

Prüfung der installierten Pakete: Bestätigen Sie, Cache Warmer innerhalb anderer Mirasvit-Module Ihrem Shop eingebunden ist. Kunden seit dem 24. April 2026 geschützt, dem Tag, an dem die Schwachstelle entdeckt wurde. Die CVE wurde offiziell am 26. Mai 2026 zugewiesen.

Da die Ausnutzung keine Authentifizierung erfordert und vollständig automatisiert werden kann, bleiben unpatchte Shops einem ernsthaften Risiko einer vollständigen Serverkompromittierung ausgesetzt. Abi ist eine Sicherheitsredakteurin und Mitautorin bei