📋 漏洞概述

Mirasvit Full Page Cache Warmer 存在反序列化漏洞，未授权攻击者可通过 Cookie 实现远程代码执行。

📋 基础信息

🔬 漏洞根因

软件在处理 CacheWarmer cookie 时，未对用户输入的序列化 PHP 对象进行充分的验证和过滤，直接调用 unserialize() 或类似函数进行反序列化。这允许攻击者构造包含恶意类的序列化负载，在反序列化过程中触发魔术方法（如 __destruct、__wakeup 等），从而执行任意代码。根本缺陷在于缺乏对序列化数据的完整性校验和类型检查。

🎯 攻击场景

1. 攻击者获取 Mirasvit Full Page Cache Warmer 的安装实例，并分析其使用的 PHP 类和反序列化链（例如利用 __destruct、__toString 方法中的操作）。 2. 构造一个恶意的 PHP 序列化对象，其中包含触发系统命令执行（如 system、exec）或任意文件写入的链。 3. 将精心制作的序列化 payload 设置为 HTTP 请求中的 CacheWarmer cookie 值。 4. 向目标 Web 服务器发送带有该 cookie 的 HTTP 请求（无需认证）。 5. 服务器解析 cookie 并执行 `unserialize()`，触发恶意链，导致攻击者在服务器上执行任意命令，成功获取远程代码执行权限。

💥 漏洞影响

成功利用该漏洞可导致未授权的远程代码执行（RCE），攻击者能在目标服务器上执行任意 PHP 代码或系统命令，从而完全控制 Web 服务器。可能造成数据泄露、网站篡改、进一步横向移动等严重后果。影响所有使用该插件的 Magento/Adobe Commerce 站点。

🛡️ 修复建议

升级到厂商提供的修复版本（截至信息发布时请关注 Mirasvit 官方公告）。临时缓解措施：在 Web 应用防火墙（WAF）中禁用对 CacheWarmer cookie 中 PHP 序列化格式的传递，或修改服务器配置取消对该 cookie 的 unserialize 调用。若无法立即修复，建议暂时禁用该插件的 warmup 功能或下线该组件。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-45247
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-45247
• 原始来源（CISA-KEV）

🚨 威胁评估

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-06-05 08:07 | 来源: CISA-KEV