CVE-2026-45247 : RCE non-auth Magento via Mirasvit Cache Warmer

Les faits

CVE-2026-45247 est une vulnérabilité critique de désérialisation de données non fiables (CWE-502 : Deserialization of Untrusted Data) affectant le plugin Mirasvit Full Page Cache Warmer pour Adobe Commerce (anciennement Magento 2 Commerce) et Magento Open Source. Avec un score CVSS de 9.3 (vecteur réseau, complexité faible, aucun privilège requis, aucune interaction utilisateur), elle permet à n'importe quel visiteur non authentifié d'une boutique en ligne vulnérable d'exécuter du code arbitraire sur le serveur web. La CISA a ajouté CVE-2026-45247 à son catalogue Known Exploited Vulnerabilities (KEV) le 3 juin 2026, avec un délai de remédiation fixé au 6 juin 2026 pour les agences fédérales américaines relevant de la directive contraignante BOD 22-01, confirmant officiellement l'exploitation active dans la nature avant même cette date.

Le mécanisme d'exploitation est d'une simplicité redoutable, ce qui explique pourquoi cette vulnérabilité est activement exploitée. Le plugin Mirasvit Full Page Cache Warmer utilise un cookie HTTP nommé CacheWarmer pour stocker des données de session liées à la gestion du cache de pages. Ce cookie est traité côté serveur par un appel à la fonction PHP native unserialize() sans validation ni filtrage préalable des données reçues. Cette pratique constitue une erreur classique de développement PHP documentée depuis des années dans l'OWASP Top 10 (catégorie A08 : Software and Data Integrity Failures) : appeler unserialize() sur des données contrôlées par un utilisateur permet d'instancier arbitrairement des objets PHP définis dans le scope de l'application, y compris ceux issus des bibliothèques tierces, et de déclencher des séquences de méthodes magiques PHP — connues sous le nom de « gadget chains » — s'exécutant automatiquement lors de la désérialisation.

Dans l'écosystème Magento 2, le risque est particulièrement élevé car la plateforme intègre de nombreuses bibliothèques exposant des gadget chains documentées et publiquement connues. Laminas (anciennement Zend Framework), Symfony et Doctrine — tous utilisés comme sous-dépendances de Magento — exposent des gadget chains permettant d'atteindre une exécution de code arbitraire (RCE). L'outil open-source phpggc (PHP Generic Gadget Chains) recense des centaines de gadget chains connues pour ces frameworks et permet de générer en quelques secondes un payload sérialisé adapté à l'environnement cible. Selon Security Boulevard, un attaquant exploitant CVE-2026-45247 doit uniquement envoyer une requête HTTP ordinaire sur n'importe quelle page de la boutique vulnérable — page d'accueil, page produit, panier — avec un cookie CacheWarmer contenant l'objet PHP sérialisé malveillant. Aucune authentification, aucun compte, aucun contournement supplémentaire n'est nécessaire.

La vulnérabilité affecte toutes les versions du plugin antérieures à 1.11.12. Le correctif a été publié par Mirasvit le 25 mai 2026 — huit jours avant l'ajout au KEV par la CISA le 3 juin 2026. Cette fenêtre de huit jours sans correctif appliqué (entre la correction disponible et la confirmation d'exploitation active) illustre un problème systémique : les boutiques e-commerce ne disposent généralement pas de processus formels de gestion des vulnérabilités pour leurs extensions tierces Magento, contrairement à ce qui se fait pour les patches OS ou middleware. Mirasvit a résolu la vulnérabilité en remplaçant l'appel à unserialize() par un mécanisme de désérialisation sécurisé basé sur JSON avec validation de schéma, éliminant la surface d'attaque par la racine.

Les conséquences d'une exploitation réussie de CVE-2026-45247 s'inscrivent dans un contexte de menace e-commerce bien établi : les campagnes MageCart. MageCart est le nom générique donné à des groupes de cybercriminels spécialisés dans l'injection de skimmers JavaScript dans les pages de paiement des boutiques Magento compromise, pour exfiltrer les données de carte bancaire des acheteurs en temps réel vers des serveurs sous leur contrôle. Halo Security signale que des campagnes de skimming exploitant spécifiquement CVE-2026-45247 ont déjà été documentées dans la nature. L'accès root obtenu via la désérialisation permet d'injecter du JavaScript malveillant directement dans les templates de la boutique, dans la configuration Magento (core_config_data), ou dans des fichiers JavaScript du frontend, rendant la détection difficile pour les gestionnaires de boutique sans outillage forensique spécialisé.

La popularité du plugin Mirasvit Full Page Cache Warmer amplifie l'impact de cette vulnérabilité. Mirasvit est l'un des principaux éditeurs d'extensions Magento du marché, avec un catalogue couvrant la plupart des besoins opérationnels des boutiques (cache, recherche, support client, SEO). Full Page Cache Warmer est une de leurs extensions phares, utilisée pour améliorer les temps de chargement en préchauffant le cache de pages via des simulations de visites. Des milliers de boutiques Adobe Commerce et Magento Open Source mondiales utilisent cette extension. Un outil automatisé peut identifier les installations vulnérables via des empreintes HTTP caractéristiques (en-têtes ou réponses spécifiques au plugin) et déclencher l'exploit en quelques millisecondes par cible, rendant les attaques de masse techniquement triviales.

La dimension e-commerce de CVE-2026-45247 en fait une vulnérabilité à fort impact business, même pour des acteurs malveillants sans grande sophistication technique. Le marché noir des accès aux boutiques Magento compromises est documenté sur des forums cybercriminels francophones et anglophones. Un accès initial via CVE-2026-45247 peut être monétisé directement via un skimmer MageCart, revendu à d'autres groupes spécialisés en fraude à la carte bancaire, ou utilisé comme point de départ pour une attaque par ransomware ciblant l'ensemble du système d'information de l'entreprise. Vulert confirme que des scanners automatisés ciblant les installations Magento vulnérables à CVE-2026-45247 sont actifs depuis la première semaine de juin 2026, balayant en continu les plages d'adresses IP et les domaines e-commerce connus.

Pour les organisations ayant déjà appliqué le patch avant l'exploitation, la mise à jour vers Mirasvit Full Page Cache Warmer 1.11.12 est disponible via Composer (composer require mirasvit/module-cache-warmer:^1.11.12) ou depuis le portail téléchargements Mirasvit. Pour les organisations ayant des doutes sur une compromission antérieure, un audit forensique complet des fichiers du serveur est indispensable : les webshells et injections JavaScript déposés avant la mise à jour survivent au patch du plugin et nécessitent une remédiation manuelle. Des outils comme MageReport, Sucuri SiteCheck ou des scanners Magento spécialisés peuvent détecter les signes les plus évidents de compromission.

Impact et exposition

Toute boutique Adobe Commerce ou Magento Open Source utilisant le plugin Mirasvit Full Page Cache Warmer en version antérieure à 1.11.12 est directement exposée. L'exploitation ne requiert aucune authentification et peut être déclenchée par n'importe quelle requête HTTP, qu'elle provienne d'un humain ou d'un bot automatisé. La surface d'attaque couvre l'intégralité du frontend de la boutique : toutes les pages publiquement accessibles déclenchent le traitement du cookie CacheWarmer vulnérable dès réception.

Les conséquences d'une exploitation réussie incluent l'exécution de code arbitraire avec les privilèges du processus web, l'accès complet à la base de données Magento (données clients, adresses, tokens de session, historiques de commandes), l'installation de skimmers MageCart dans les pages de paiement, la création d'administrateurs Magento frauduleux, et potentiellement la compromission de l'ensemble du serveur si PHP tourne avec des privilèges étendus. Pour les boutiques B2B, des informations sensibles comme les catalogues tarifaires clients, les contrats et les conditions commerciales négociées peuvent être exfiltrées.

Le secteur e-commerce français est particulièrement exposé. Adobe Commerce et Magento Open Source constituent la plateforme de référence pour de nombreuses PME et ETI du retail, de la distribution et du B2B en France. L'utilisation d'extensions tierces comme Mirasvit est une pratique standard, mais ces extensions sont rarement soumises à des audits de sécurité réguliers. Les boutiques opérant sans politique formelle de gestion des vulnérabilités pour leurs extensions Magento sont les plus à risque.

L'exploitation active confirmée par la CISA signifie que des boutiques sont compromises en ce moment. Les boutiques non patchées doivent être traitées comme potentiellement compromises jusqu'à preuve du contraire. Les gestionnaires de boutique remarquant des anomalies dans leurs journaux (requêtes avec des cookies anormalement longs, sessions inattendues en base de données, nouveaux comptes administrateurs) doivent déclencher un plan de réponse à incident immédiatement.

Recommandations immédiates

• Mettre à jour Mirasvit Full Page Cache Warmer vers la version 1.11.12 ou supérieure via composer require mirasvit/module-cache-warmer:^1.11.12 — Mirasvit Security Advisory CVE-2026-45247 (sans lien externe)
• Si la mise à jour n'est pas immédiatement possible : désactiver le module via bin/magento module:disable Mirasvit_CacheWarmer puis vider le cache Magento
• Mettre en place une règle WAF bloquant les cookies CacheWarmer contenant des valeurs sérialisées PHP (débutant par O:, a:, s:) comme mesure de mitigation temporaire
• Auditer les fichiers du serveur dans les répertoires pub/, var/ et app/ pour détecter des fichiers PHP ou JavaScript non légitimes (webshells)
• Contrôler la table core_config_data de la base de données Magento, notamment les entrées design/head/includes, pour des injections JavaScript MageCart
• Vérifier l'absence de nouveaux comptes administrateurs Magento non autorisés dans System > All Users
• Réaliser un scan complet avec un outil spécialisé Magento (MageReport, Sucuri SiteCheck) pour détecter les indicateurs de compromission les plus courants