Kritisches Sicherheitslücke beim Magento-Cache-Plugin ermöglicht Remote-Code-Execution-Angriffe
Eine kritische Sicherheitslücke wurde in einem weit verbreiteten Magento-Caching-Plugin entdeckt, die Angreifern ermöglicht, bösartigen Code ohne Anmeldung, Konfigurationsänderungen oder Administratorzugriff aus der Fern

Kurzfassung
Warum das wichtig ist
- Eine kritische Sicherheitslücke wurde in einem weit verbreiteten Magento-Caching-Plugin entdeckt, die Angreifern ermöglicht, bösartigen Code ohne Anmeldung, Konfigurationsänderungen oder Administratorzugriff aus der Fern
- Sicherheitsforscher authentisierte PHP-Objekt-Injection-Schwachstelle Mirasvit Cache Warmer, einer Full-Page-Cache-Erweiterung, die Adobe Commerce-Webshops genutzt wird, aufgedeckt.
- Die als CVE-2026-45247 verzeichnete Schwachstelle weist einen maximalen CVSS-Score von 9,8 (Critical) auf.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine kritische Sicherheitslücke wurde in einem weit verbreiteten Magento-Caching-Plugin entdeckt, die Angreifern ermöglicht, bösartigen Code ohne Anmeldung, Konfigurationsänderungen oder Administratorzugriff...
Warum relevant
Mirasvit Cache Warmer ist dazu entwickelt, vorab geladene Versionen für verschiedene Besucherarten zu generieren, wobei Unterschiede nach Währung, Kundengruppe und anderen Sitzungsdaten berücksichtigt werden.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Mirasvit Cache Warmer ist dazu entwickelt, vorab geladene Versionen für verschiedene Besucherarten zu generieren, wobei Unterschiede nach Währung, Kundengruppe und anderen Sitzungsdaten berücksichtigt werden. Um dies zu erreichen, werden Sitzungsdaten in einem Cookie verpackt und mit jeder Crawling-Anfrage übermittelt.
Auf der Serverseite liest ein Plugin dieses Cookie aus und passt die Sitzung entsprechend an, bevor die Seite gerendert wird. Das kritische Problem besteht darin, dass das Plugin einen Teil des Cookie-Werts direkt an die native PHP-Funktion `unserialize()` übergibt, ohne Klassenbeschränkungen oder Authentifizierungsprüfungen.
Da der Cookie-Wert vollständig auf der Client-Seite generiert wird, kann ein Angreifer ihn manipulieren, um beliebige PHP-Objekte einzuschleusen. Dies wird als PHP-Objekt-Injektion (CWE-502) bezeichnet.
Kombination mit einer Gadget-Kette – also
Kombination mit einer Gadget-Kette – also bösartiger Logik, die aus bereits Magento und dessen Abhängigkeiten enthaltenen Klassen zusammengesetzt ist – eskaliert diese Objekt-Injektion direkt zu einer Remote Code Execution (RCE).
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/magento-cache-plugin-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/magento-cache-plugin-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Micron greift im Automobilsektor zur Lösung der Speicherkrise.
Um die Automobilindustrie vor einer durch die KI-Nachfrage verursachten Speicherkrise zu schützen, hat Micron langfristige Lieferverträge mit 16 strategischen Kunden abgeschlossen, darunter sieben wichtige Zulieferer wie Qualcomm und Hyundai Mobis. Dieser Schritt sichert die Beschäftigung ätzen in den USA und stellt sicher, dass neue Fahrzeuggenerationen mit KI-Integration weiterhin mit ausreichend DRAM und Speichermodulen versorgt werden, obwohl das Unternehmen dabei potenzielle Gewinne aus Rechenzentren opfert und gleichzeitig einer Sammelklage wegen künstlicher Preissteigerungen ausgesetzt ist.
17.07.2026
Live Redaktion


