Boletín de amenazas
CVE-2026-45247 — RCE sin autenticación en una extensión de Magento vía inyección de objetos PHP
CVE-2026-45247: inyección de objetos PHP (deserialización de datos no confiables, CWE-502) en la extensión Mirasvit Full Page Cache Warmer para Magento 2 antes de 1.11.12 → RCE sin autenticación, CVSS 9.3. Qué es, el rango afectado y las soluciones a hacer ya, de forma defensiva.
Un boletín sobre una vulnerabilidad en explotación activa (listada en CISA KEV). Qué ocurre, el rango afectado y las soluciones, explicados de forma defensiva, sin pasos de ataque.
- CVE
- CVE-2026-45247
- Severidad
- Crítica (CVSS 9.3 / v4.0)
- Clase
- Inyección de objetos PHP (deserialización de datos no confiables, CWE-502)
- Impacto
- Ejecución remota de código sin autenticación (RCE)
- Afectado
- Mirasvit Full Page Cache Warmer for Magento 2 — antes de 1.11.12
- Solución real
- Actualizar a 1.11.12 o posterior
Por qué el descuido es peligroso
Un RCE sin autenticación es un objetivo prioritario para los escáneres ciegos (por eso está listado en KEV). «Somos demasiado pequeños para ser objetivo» no se sostiene: los escáneres barren todo internet de forma mecánica.
Qué es la vulnerabilidad (inyección de objetos PHP)
PHP tiene serialize para convertir datos en cadena y unserialize para restaurarlos. Deserializar una entrada no confiable tal cual deja que un atacante pase «un objeto que provoca efectos secundarios no deseados al restaurarse». Durante la restauración (métodos mágicos, etc.), el comportamiento no previsto se encadena y puede alcanzar la ejecución de código: eso es la inyección de objetos PHP (CWE-502).
✗ Restaurar una entrada no confiable
entrada externa → unserialize en un objeto → cadena de restauración → ejecución de código
✓ Tratar como dato
aceptar la entrada externa solo como dato (JSON, etc.) → nunca reconstruir objetos
El componente afectado es una extensión de calentamiento de caché para Magento 2. El atacante la alcanza sin autenticación, y el CVSS la califica con 9.3: la peor clase.
Rango afectado
| Elemento | Detalle |
|---|---|
| Extensión | Mirasvit Full Page Cache Warmer for Magento 2 |
| Versiones afectadas | antes de 1.11.12 |
| Versión corregida | 1.11.12 y posteriores |
| Condición previa | No se requiere autenticación |
| Impacto alcanzado | Ejecución remota de código (RCE) |
Soluciones
Actualiza a 1.11.12+ (máxima prioridad, la solución real)
Gana tiempo con defensa en profundidad
Comprueba si ha habido compromiso
Inventaría las extensiones + monitorización automática de CVE
La visión de este sitio: diseña la deserialización fuera de la ecuación
Esta clase nunca muere, porque es «cómodo» restaurar la entrada externa directamente. La postura de este sitio es clara: nunca crees un lugar que haga unserialize de datos no confiables. Acepta la entrada externa solo como dato (p. ej. json_decode), nunca para reconstruir objetos. Entonces esta clase desaparece por diseño.
Lee a continuación
- Glosario: Qué es el RCE · Qué es un CVE · Qué es el CVSS
- Feed: Feed de amenazas
FAQ
Q¿Qué permite CVE-2026-45247?
Un atacante sin autenticación puede ejecutar código arbitrario (RCE) en un sitio Magento que ejecute la extensión afectada: un camino directo a la desfiguración, el robo de datos y un punto de apoyo hacia otros sistemas. Es una vulnerabilidad de la peor clase.
Q¿Cuál es la solución más fiable?
Actualizar la extensión «Mirasvit Full Page Cache Warmer for Magento 2» a la versión 1.11.12 o posterior. La actualización es el cierre real; los cambios de configuración y un WAF son defensa en profundidad para ganar tiempo hasta que puedas parchear.
Q¿Qué es la inyección de objetos PHP?
Deserializar una entrada no confiable tal cual (vía unserialize, etc.) de modo que un objeto suministrado por el atacante se reconstruye, encadenándose hacia un comportamiento no previsto (CWE-502). La defensa real es nunca deserializar datos no confiables.