電商平臺 Magento 快取外掛 Mirasvit Cache Warmer 重大漏洞 CVE-2026-45247

Sansec 揭露 magento / Adobe Commerce 電商平臺熱門快取外掛 mirasvit Cache Warmer 存在重大漏洞(CVE-2026-45247,CVSS 9.8),攻擊者無需身分驗證即可透過特製 cookie 觸發 PHP 物件注入,搭配合適的 Gadget Chain 可實現遠端任意程式碼執行(RCE)。2026-06-03,cisa 證實該漏洞已遭積極利用並列入 KEV,要求美國聯邦機構於 2026-06-06 前修補。

漏洞資訊

欄位內容
CVE 編號CVE-2026-45247
CVSS 評分9.8 / 10(Critical)
漏洞類型未驗證 PHP 物件注入(Object Injection)
受影響軟體Mirasvit Cache Warmer(Magento/Adobe Commerce 快取外掛)
揭露來源Sansec
KEV 狀態CISA 於 2026-06-03 列入 KEV,聯邦機構修補期限 2026-06-06

攻擊方式

  • 攻擊者發送特製 cookie 進行 storefront 請求即可觸發
  • 無需身分驗證、管理員權限或特殊設定
  • 搭配合適的 Gadget Chain 可實現遠端任意程式碼執行(RCE)

影響範圍

  • 6,000 個電商平臺採用該外掛
  • 實際安裝數量可能更多
  • 該套件常與其他 Mirasvit 套件捆綁安裝,許多商店經營者可能不知情

修補建議

  • 修補版本:1.11.12(2025 年 5 月 25 日發布)
  • 建議立即更新至最新版本
  • Sansec 提供檢測方法,可確認是否已遭入侵
  • CISA 已掌握積極利用證據並列入 KEV;組織應回溯檢查可疑 PHP 檔案、Web shell、後門帳號與異常外掛行為

相關實體

  • mirasvit — Mirasvit 外掛廠商
  • magento — 受影響電商平臺生態
  • cisa — 將漏洞列入 KEV 的主管機關

來源文章