Se ha descubierto una vulnerabilidad de seguridad crítica en un plugin de caché de Magento muy utilizado que permite a los atacantes ejecutar código malicioso de forma remota sin necesidad de inicio de sesión, cambios de configuración o acceso de administrador.

Investigadores de seguridad de Sansec descubrieron un fallo de inyección de objetos PHP no autenticado en Mirasvit Cache Warmer, una extensión de caché de página completa utilizada por miles de tiendas Magento y Adobe Commerce.

La vulnerabilidad, rastreada como CVE-2026-45247, tiene una puntuación CVSS de severidad máxima de 9.8 (Crítica).

Vulnerabilidad del Plugin de Caché de Magento

Mirasvit Cache Warmer está diseñado para precargar versiones almacenadas en caché de las páginas de la tienda para diferentes tipos de visitantes, variando según la moneda, el grupo de clientes y otros estados de sesión.

Para lograr esto, empaqueta los detalles de la sesión en una cookie y los envía con cada solicitud de rastreo. En el lado del servidor, un plugin lee esa cookie y ajusta la sesión en consecuencia antes de renderizar la página.

El problema crítico: el plugin pasa parte del valor de esa cookie directamente a la función nativa unserialize() de PHP, sin restricciones de clase y sin comprobaciones de autenticación.

Dado que el valor de la cookie está totalmente controlado por el cliente, un atacante puede manipularlo para inyectar objetos PHP arbitrarios. Esto se conoce como Inyección de Objetos PHP (CWE-502).

Cuando se combina con una "cadena de gadgets" (lógica maliciosa construida a partir de clases ya incluidas en Magento y sus dependencias), esta inyección de objetos escala directamente a una Ejecución Remota de Código (RCE).

El ataque se activa en cada solicitud de la tienda, no solo en el tráfico interno de calentamiento de caché, lo que convierte a cualquier tienda de Magento orientada al público en un objetivo potencial.

Todas las versiones de Mirasvit Cache Warmer anteriores a la 1.11.12 son vulnerables. La extensión se distribuye empaquetada dentro de varios otros paquetes de Mirasvit, lo que significa que muchos comerciantes podrían estar ejecutándola sin darse cuenta.

El escaneo de Sansec encontró aproximadamente 6,000 tiendas que ejecutan extensiones de Mirasvit, aunque es probable que el número real sea mucho mayor, ya que las CDN como Cloudflare ocultan muchas instalaciones del análisis externo.

El exploit deja un rastro reconocible en los registros web. Tus equipos de seguridad deben vigilar las solicitudes de la tienda que lleven una cookie CacheWarmer cuyo valor comience con CacheWarmer: seguido de una cadena en base64.

Los objetos PHP serializados suelen codificarse en base64 en cadenas que comienzan con Tz, Qz o YT; por lo tanto, el patrón CacheWarmer:(Tz|Qz|YT) es un fuerte indicador de un intento de explotación activo.

Mitigaciones

Mirasvit lanzó la versión parcheada 1.11.12 el 25 de mayo de 2026, pocos días después de ser notificada. Si eres propietario de una tienda, debes actuar inmediatamente:

Actualiza ahora: Actualiza Mirasvit Cache Warmer a la versión 1.11.12 o posterior.

Bloquea ataques: Implementa un firewall de aplicaciones web (WAF) capaz de bloquear intentos de exploit basados en serialización.

Escanea en busca de compromisos: Busca webshells, puertas traseras o archivos PHP inesperados en pub/ y otros directorios accesibles desde la web.

Audita los paquetes instalados: Confirma si Cache Warmer está incluido dentro de otros módulos de Mirasvit en tu tienda.

Los clientes de Shield de Sansec ya estaban protegidos desde el 24 de abril de 2026, el mismo día que se descubrió el fallo. El CVE fue asignado formalmente el 26 de mayo de 2026.

Teniendo en cuenta que la explotación no requiere autenticación y puede automatizarse completamente, las tiendas no parcheadas siguen corriendo un riesgo grave de compromiso total del servidor.