본문으로 건너뛰기
>_ITDITD웹 보안 플랫폼

위협 피드

위험CVSS9.3#CVE-2026-45247#PHP 객체 인젝션#Magento#역직렬화

CVE-2026-45247 — PHP 객체 인젝션을 통한 Magento 확장 기능의 인증 없는 RCE

CVE-2026-45247: Mirasvit Full Page Cache Warmer Magento 2 확장 기능 1.11.12 미만의 PHP 객체 인젝션(신뢰할 수 없는 데이터의 역직렬화, CWE-502) → 인증 없는 RCE, CVSS 9.3. 무엇인지, 영향 범위, 그리고 지금 해야 할 대책을 — 공격 절차 없이 방어적으로 설명합니다.

게시 2026-06-08 3분 읽기

실제 악용 중인 취약점(CISA KEV 등재)에 대한 속보입니다. 무슨 일이 일어나는지, 영향 범위, 그리고 대책을 — 공격 절차 없이 방어적으로 설명합니다.

권고
CVE
CVE-2026-45247
심각도
Critical (CVSS 9.3 / v4.0)
분류
PHP 객체 인젝션(신뢰할 수 없는 데이터의 역직렬화, CWE-502)
영향
인증 없는 원격 코드 실행(RCE)
영향 대상
Mirasvit Full Page Cache Warmer for Magento 2 — 1.11.12 미만
진짜 대책
1.11.12 이상으로 업데이트
9.3
CVSS / 최악 등급
인증 불필요
도달 조건
RCE
도달한 영향
업데이트로 해결
진짜 차단

방치가 위험한 이유

인증 없는 RCE는 무차별 스캐너의 최우선 표적입니다(그래서 KEV에 등재되었습니다). "우리는 너무 작아서 표적이 되지 않는다"는 통하지 않습니다 — 스캐너는 인터넷 전체를 기계적으로 훑습니다.

이 취약점은 무엇인가(PHP 객체 인젝션)

PHP에는 데이터를 문자열화하는 serialize와 그것을 복원하는 unserialize가 있습니다. 신뢰할 수 없는 입력을 그대로 역직렬화하면 공격자가 "복원될 때 원치 않는 부작용을 일으키는 객체"를 넘길 수 있습니다. 복원 과정(매직 메서드 등)에서 의도하지 않은 동작이 연쇄되어 코드 실행에 도달할 수 있는데 — 이것이 PHP 객체 인젝션(CWE-502)입니다.

✗ 신뢰할 수 없는 입력을 복원

외부 입력 → 객체로 unserialize → 복원 연쇄 → 코드 실행

✓ 데이터로 다룸

외부 입력을 오직 데이터(JSON 등)로만 받음 → 객체를 결코 재구성하지 않음

신뢰할 수 없는 입력을 역직렬화하면 공격자가 제공한 객체가 재구성되어 의도하지 않은 동작으로 연쇄된다. 데이터로 다루면 안전하다.

영향받는 구성 요소는 Magento 2용 캐시 워밍 확장 기능입니다. 공격자는 인증 없이 도달하며, CVSS는 이를 9.3 — 최악 등급으로 평가합니다.

영향 범위

항목상세
확장 기능Mirasvit Full Page Cache Warmer for Magento 2
영향받는 버전1.11.12 미만
수정된 버전1.11.12 이상
전제 조건인증 불필요
도달한 영향원격 코드 실행(RCE)

대책

1

1.11.12+ 로 업데이트(최우선, 진짜 대책)

확장 기능을 최신으로 업데이트하십시오. RCE를 실제로 차단하는 유일한 방법입니다. 이후 실제로 동작 중인 버전을 확인하십시오.
2

심층 방어로 시간을 번다

즉시 패치할 수 없다면 엔드포인트 접근을 제한하거나(IP 허용 목록, 기본 인증, 경로 차단) WAF로 폭발 표면을 일시적으로 줄이십시오. 시간 벌기일 뿐입니다.
3

침해 여부를 점검한다

패치 전에 도달당했을 수 있다고 가정하십시오: 낯선 파일, 예약 작업, 아웃바운드 트래픽, 관리자 계정 변경을 점검하십시오. RCE는 "env와 DB가 유출되었을 수 있다"로 다루십시오.
4

확장 기능 인벤토리 + 머신 CVE 모니터링

설치된 확장 기능/의존성을 인벤토리화하고 CVE를 기계로 감시하십시오(Dependabot / osv-scanner). "공개된 알려진 CVE를 사람이 놓쳐 미패치로 남는 일"을 구조적으로 예방하십시오.

본 사이트의 견해: 역직렬화를 설계로 없애라

이 부류는 결코 사라지지 않습니다 — 외부 입력을 직접 복원하는 것이 "편리하기" 때문입니다. 본 사이트의 태도는 분명합니다: 신뢰할 수 없는 데이터를 unserialize하는 곳을 결코 만들지 마십시오. 외부 입력은 오직 데이터로만(예: json_decode) 받고, 객체를 재구성하는 데 쓰지 마십시오. 그러면 이 부류는 설계상 사라집니다.

이어서 읽기

FAQ

QCVE-2026-45247은 무엇을 허용하나요?
A

인증 없는 공격자가 영향받는 확장 기능을 실행 중인 Magento 사이트에서 임의 코드를 실행(RCE)할 수 있습니다 — 변조, 데이터 탈취, 다른 시스템으로의 발판 마련으로 가는 직접 경로입니다. 최악 등급의 취약점입니다.

Q가장 확실한 대책은 무엇인가요?
A

'Mirasvit Full Page Cache Warmer for Magento 2' 확장 기능을 1.11.12 이상으로 업데이트하는 것입니다. 업데이트가 진짜 차단이며, 설정 변경과 WAF는 패치할 때까지 시간을 버는 심층 방어입니다.

QPHP 객체 인젝션이란 무엇인가요?
A

신뢰할 수 없는 입력을 그대로 역직렬화(unserialize 등)해 공격자가 제공한 객체가 재구성되고, 의도하지 않은 동작으로 연쇄되는 것입니다(CWE-502). 진짜 방어는 신뢰할 수 없는 데이터를 결코 역직렬화하지 않는 것입니다.