CVE-2026-45247 — неаутентифицированный RCE в расширении Magento через PHP object injection

CVE-2026-45247: PHP object injection (десериализация недоверенных данных, CWE-502) в расширении Mirasvit Full Page Cache Warmer для Magento 2 до 1.11.12 → неаутентифицированный RCE, CVSS 9.3. Что это, затронутый диапазон и исправления, которые нужно сделать сейчас — защитно, без шагов атаки.

Опубликовано 2026-06-08 4 мин чтения

Бюллетень об активно эксплуатируемой уязвимости (внесена в CISA KEV). Что происходит, затронутый диапазон и исправления — объяснено защитно, без шагов атаки.

Бюллетень

CVE: CVE-2026-45247
Серьёзность: Критическая (CVSS 9.3 / v4.0)
Класс: PHP object injection (десериализация недоверенных данных, CWE-502)
Воздействие: Неаутентифицированное удалённое выполнение кода (RCE)
Затронуто: Mirasvit Full Page Cache Warmer for Magento 2 — до 1.11.12
Настоящее исправление: Обновить до 1.11.12 или новее

9.3

CVSS / худший класс

без аутентификации

Условие достижения

RCE

Достигнутое воздействие

исправляется обновлением

Настоящее закрытие

Сначала главное

Если вы используете уязвимое расширение, обновитесь до 1.11.12+ прямо сейчас. Это единственное настоящее закрытие.
Причина — PHP object injection — десериализация недоверенного ввода как есть, так что объект, предоставленный злоумышленником, реконструируется (CWE-502). Результат — неаутентифицированный RCE (что такое RCE).
Пока вы не пропатчились, добавьте эшелонированную оборону — ограничьте endpoint, WAF, мониторинг — но это лишь выигрывает время; корневое исправление — обновление.

Почему пренебрежение опасно

Неаутентифицированный RCE — главная цель для слепых сканеров (поэтому он внесён в KEV). «Мы слишком малы, чтобы нас атаковали» не работает — сканеры механически прочёсывают весь интернет.

Что это за уязвимость (PHP object injection)

В PHP есть serialize для превращения данных в строку и unserialize для их восстановления. Десериализация недоверенного ввода как есть позволяет злоумышленнику передать «объект, вызывающий нежелательные побочные эффекты при восстановлении». Во время восстановления (магические методы и т.п.) непреднамеренное поведение выстраивается в цепочку и может достичь выполнения кода — это и есть PHP object injection (CWE-502).

✗ Восстановление недоверенного ввода

внешний ввод → unserialize в объект → цепочка восстановления → выполнение кода

✓ Трактовать как данные

принимать внешний ввод только как данные (JSON и т.п.) → никогда не реконструировать объекты

Десериализация недоверенного ввода реконструирует объект, предоставленный злоумышленником, и выстраивается в цепочку к непреднамеренному поведению. Если же трактовать как данные, оно остаётся безопасным.

Затронутый компонент — расширение для прогрева кэша для Magento 2. Злоумышленник достигает его без аутентификации, и CVSS оценивает это в 9.3 — худший класс.

Затронутый диапазон

Параметр	Деталь
Расширение	Mirasvit Full Page Cache Warmer for Magento 2
Затронутые версии	до 1.11.12
Исправленная версия	1.11.12 и новее
Предусловие	Аутентификация не требуется
Достигнутое воздействие	Удалённое выполнение кода (RCE)

Исправления

Обновить до 1.11.12+ (высший приоритет, настоящее исправление)

Обновите расширение до последней версии. Это единственное, что реально закрывает RCE. После этого подтвердите реально работающую версию.

Выиграйте время эшелонированной обороной

Если не можете пропатчиться немедленно, ограничьте доступ к endpoint (список разрешённых IP, basic auth, отключение пути) или используйте WAF, чтобы временно сократить поверхность поражения. Только для выигрыша времени.

Проверьте на компрометацию

Предполагайте, что до патча до него могли добраться: проверьте на незнакомые файлы, запланированные задачи, исходящий трафик и изменения административных аккаунтов. Трактуйте RCE как «окружение и БД могли утечь».

Инвентаризация расширений + машинный мониторинг CVE

Инвентаризируйте установленные расширения/зависимости и следите за CVE машинами (Dependabot / osv-scanner). Структурно предотвратите «опубликованный, известный CVE остался непропатченным, потому что человек его упустил».

Взгляд этого сайта: спроектируйте десериализацию прочь

Этот класс никогда не умирает — потому что «удобно» восстанавливать внешний ввод напрямую. Позиция этого сайта проста: никогда не создавайте места, где unserialize-ятся недоверенные данные. Принимайте внешний ввод только как данные (например, json_decode), никогда не для реконструкции объектов. Тогда этот класс исчезает по дизайну.

Читать дальше

Глоссарий: Что такое RCE · Что такое CVE · Что такое CVSS
Лента: Лента угроз

FAQ

QЧто позволяет CVE-2026-45247?

Неаутентифицированный злоумышленник может выполнить произвольный код (RCE) на сайте Magento с уязвимым расширением — прямой путь к дефейсу, краже данных и закреплению в других системах. Это уязвимость худшего класса.

QКакое исправление самое надёжное?

Обновить расширение «Mirasvit Full Page Cache Warmer for Magento 2» до 1.11.12 или новее. Обновление — настоящее закрытие; изменения конфигурации и WAF — это эшелонированная оборона, выигрывающая время, пока вы не пропатчитесь.

QЧто такое PHP object injection?

Десериализация недоверенного ввода как есть (через unserialize и т.п.), так что объект, предоставленный злоумышленником, реконструируется, выстраиваясь в цепочку к непреднамеренному поведению (CWE-502). Настоящая защита — никогда не десериализовать недоверенные данные.