CVE-2026-45247 : RCE Magento CVSS 9.8, KEV CISA

Les faits

CVE-2026-45247 est une vulnérabilité critique (CVSS 9.8) de désérialisation PHP affectant le plugin Mirasvit Full Page Cache Warmer pour Magento et Adobe Commerce. La CISA a intégré cette faille à son catalogue Known Exploited Vulnerabilities (KEV) le 3 juin 2026, après confirmation d'une exploitation active dans la nature. Cette inscription, réalisée en vertu de la Directive Opérationnelle Contraignante (BOD) 22-01, impose aux agences fédérales américaines une remédiation avant le 6 juin 2026. Elle signale la gravité et l'urgence de la situation pour l'ensemble de l'écosystème e-commerce Magento à l'échelle mondiale. The Hacker News, Security Affairs et CyberSecurityNews ont couvert l'ajout au KEV, alertant la communauté cybersécurité sur la criticité de la situation.

Techniquement, la vulnérabilité provient d'une désérialisation non sécurisée de données contrôlées par un attaquant, transmises via le cookie HTTP CacheWarmer. Le plugin Mirasvit Full Page Cache Warmer, conçu pour optimiser les performances des boutiques Magento en préchauffant le cache de pages, traite le contenu de ce cookie sans validation ni assainissement appropriés. En PHP, la désérialisation non contrôlée d'objets arbitraires (CWE-502 — Deserialization of Untrusted Data) constitue l'une des classes de vulnérabilités les plus dangereuses selon l'OWASP Top 10 (A08:2021). Elle permet d'exploiter des chaînes de gadgets (PHP Object Injection gadget chains) présentes dans le code de l'application ou de ses dépendances pour déclencher des méthodes magiques PHP (__wakeup(), __destruct(), __toString()) et exécuter des commandes système arbitraires sur le serveur hôte.

L'exploitation de CVE-2026-45247 ne requiert strictement aucune authentification préalable. Un attaquant envoie une requête HTTP ordinaire vers n'importe quelle page publique du site Magento ciblé, en incluant un cookie CacheWarmer contenant une charge utile PHP sérialisée malveillante. Lorsque le plugin désérialise ce cookie côté serveur, la chaîne de gadgets PHP Object Injection se déclenche et exécute le code arbitraire de l'attaquant avec les privilèges du processus web (typiquement www-data ou nginx). Des preuves de concept documentées montrent l'exécution de webshells distants, l'extraction de données MySQL (identifiants administrateurs, informations clients, données de paiement), et la persistance via l'implantation de backdoors dans le système de fichiers du serveur cible.

Mirasvit Full Page Cache Warmer est une extension commerciale populaire de l'écosystème Magento, utilisée par des milliers de boutiques e-commerce dans le monde. La vulnérabilité a été découverte et documentée par les chercheurs de Sansec, spécialisés dans la sécurité des plateformes e-commerce, qui ont publié une analyse technique détaillée intitulée "Critical vulnerability in Mirasvit Cache Warmer for Magento", documentant la chaîne d'exploitation complète. Imperva a confirmé avoir observé des tentatives d'exploitation actives contenant des charges utiles PHP sérialisées conçues pour déclencher des injections d'objets PHP via des gadget chains connues dans l'environnement Magento.

La chronologie de CVE-2026-45247 est alarmante au regard de la rapidité de l'exploitation. Mirasvit a publié la version corrigée 1.11.12 le 25 mai 2026. L'exploitation active a néanmoins débuté rapidement après la divulgation publique, conduisant la CISA à inscrire CVE-2026-45247 dans son catalogue KEV le 3 juin 2026, soit seulement 9 jours après la disponibilité du patch — un délai record illustrant la rapidité avec laquelle des acteurs malveillants opérationnalisent les vulnérabilités e-commerce à fort potentiel. Vulert, WindowsNews.ai et Security Boulevard ont relayé l'avertissement, soulignant les implications pour les opérateurs Magento du monde entier.

Du point de vue de la classification formelle, CVE-2026-45247 reçoit le vecteur CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, soit le score maximal sans contraintes d'exploitation. Le NVD/NIST confirme le score de 9.8/10. La désérialisation PHP est classée CWE-502 et figure régulièrement parmi les vecteurs d'attaque les plus utilisés contre les plateformes e-commerce, notamment par les groupes Magecart spécialisés dans le skimming de cartes bancaires. Ces acteurs injectent du JavaScript malveillant dans les pages de paiement pour collecter les données de cartes en temps réel lors des transactions, causant des pertes financières directes pour les acheteurs et des obligations légales sous RGPD et PCI DSS pour les marchands.

Les boutiques Adobe Commerce (anciennement Magento Commerce) sont également concernées si elles utilisent le plugin Mirasvit. Adobe Commerce étant souvent déployé dans des contextes à haute valeur commerciale, l'impact potentiel d'une compromission dépasse largement la prise de contrôle du serveur web. Un attaquant peut exfiltrer les données clients soumises au RGPD, les tokens de paiement stockés, et accéder aux systèmes backend connectés via les API d'intégration Magento — ERP, WMS, plateformes logistiques. La compromission d'une boutique Adobe Commerce génère typiquement des obligations de notification de violation de données auprès des autorités de protection des données compétentes (en France : la CNIL).

Selon CyberSecurityNews et les analyses de Sansec, des milliers de boutiques Magento restent potentiellement non corrigées plusieurs jours après l'ajout au KEV CISA. L'écosystème Magento présente historiquement des délais de mise à jour des plugins tiers plus longs que pour le core Magento, en raison de la complexité des déploiements e-commerce et des tests de non-régression requis. Cette réalité opérationnelle crée une fenêtre d'exploitation prolongée que les acteurs Magecart exploitent systématiquement, comme l'ont démontré les campagnes antérieures ciblant Magento (Operation NightScout, Magecart Group 8, etc.).

Impact et exposition

Toute boutique Magento ou Adobe Commerce utilisant Mirasvit Full Page Cache Warmer en version antérieure à 1.11.12 est exposée à une compromission totale sans authentification. L'exploitation peut se produire via n'importe quelle page publique du site, rendant toute restriction d'accès par IP ou liste blanche inefficace. Les données exposées incluent les informations personnelles des clients (données RGPD), les historiques de commandes, les informations de paiement, et les accès à l'interface d'administration de la boutique. Une compromission complète permet d'accéder à la base de données MySQL de Magento, contenant l'ensemble des données transactionnelles de la boutique depuis sa création.

L'inscription au catalogue KEV de la CISA confirme que des acteurs malveillants exploitent déjà activement cette faille. Les indicateurs de compromission (IoC) publiés par Imperva montrent des requêtes HTTP contenant des cookies CacheWarmer avec des charges utiles encodées en base64 ou au format PHP sérialisé (chaînes commençant par O: pour les objets ou a: pour les tableaux PHP). Une analyse ciblée des logs d'accès HTTP permet de détecter des tentatives d'exploitation et d'identifier d'éventuelles compromissions non détectées.

Les boutiques hébergées sans Web Application Firewall (WAF) ou sans filtrage des entrées HTTP sont particulièrement vulnérables. Les environnements multi-boutiques Magento amplifient l'impact : la compromission d'un serveur partagé peut affecter simultanément plusieurs boutiques, touchant un nombre démultiplié de clients et générant des obligations de notification de violation en cascade. Les acteurs Magecart spécialisés dans le skimming de cartes bancaires représentent la menace la plus directe pour les acheteurs finaux.

L'impact commercial et réputationnel d'une compromission via CVE-2026-45247 peut être sévère : perte de confiance des clients, enquêtes PCI DSS pouvant conduire à la suspension du droit d'accepter des paiements par carte, amendes RGPD jusqu'à 4% du chiffre d'affaires mondial, et potentiellement des poursuites judiciaires de la part des clients victimes de fraude.

Recommandations immédiates

• Mettre à jour immédiatement Mirasvit Full Page Cache Warmer vers la version 1.11.12 ou supérieure via le Mirasvit Innovators Hub (compte client requis) — advisory : Mirasvit Security Advisory CVE-2026-45247, publié le 25 mai 2026
• Si la mise à jour n'est pas immédiatement possible : désactiver temporairement le module via php bin/magento module:disable Mirasvit_CacheWarmer && php bin/magento cache:flush jusqu'à l'application du patch
• Analyser les logs d'accès HTTP à la recherche de requêtes avec cookies CacheWarmer suspects : grep "CacheWarmer" /var/log/nginx/access.log | grep -E "O:[0-9]+:|a:[0-9]+:"
• Vérifier l'intégrité des fichiers Magento, notamment les répertoires pub/, var/, generated/ via : find /var/www/magento -name "*.php" -newer /var/www/magento/index.php -type f — tout fichier PHP inattendu est un indicateur de compromission
• Activer ou mettre à jour les règles WAF pour filtrer les tentatives de PHP Object Injection (règles OWASP ModSecurity Core Rule Set 933160 et suivantes)
• Changer les mots de passe administrateurs Magento et les clés API d'intégration si une compromission est suspectée, et auditer les journaux d'administration pour détecter des créations de comptes ou des modifications de configuration non autorisées