Uma vulnerabilidade crítica no plugin Mirasvit Cache Warmer para Magento e Adobe Commerce pode permitir execução remota de código sem autenticação em lojas virtuais.
A falha é rastreada como CVE-2026-45247 e recebeu pontuação CVSS 9,8. O problema afeta versões anteriores à 1.11.12 do componente, usado para pré-gerar páginas em cache e melhorar o desempenho de vitrines online.
Segundo a análise, milhares de lojas podem estar expostas, inclusive porque o plugin pode estar presente como parte de outros pacotes da Mirasvit.
A falha está ligada ao uso inseguro da função unserialize() do PHP sobre dados controlados pelo cliente. Requisições com um cookie CacheWarmer especialmente criado podem levar o servidor a processar objetos serializados maliciosos.
Esse comportamento abre caminho para injeção de objetos PHP, classificada como CWE-502. Quando combinada com cadeias de gadgets existentes no Magento ou em dependências instaladas, a falha pode evoluir para execução completa de código no servidor.
O impacto é grave para operações de e-commerce. Um invasor pode tentar instalar web shells, alterar arquivos da loja, roubar dados de clientes, inserir skimmers de pagamento ou manter acesso persistente ao ambiente comprometido.
A Mirasvit lançou a correção na versão 1.11.12 em 25 de maio de 2026, após notificação em 21 de maio. Administradores devem atualizar o plugin imediatamente e verificar se o Cache Warmer está instalado direta ou indiretamente no ambiente.
