CISA ha aggiunto CVE-2026-45247 al Known Exploited Vulnerabilities catalog il 3 giugno 2026, obbligando le agenzie federali civili statunitensi a chiudere la falla entro il 6 giugno. La vulnerabilità colpisce il plugin Mirasvit Full Page Cache Warmer per Magento 2, una componente terza parte diffusa nel commercio elettronico, e presenta un punteggio CVSS 9.8. La timeline svela un gap pericoloso: la patch era uscita il 25 maggio, ma i primi exploit in-the-wild sono stati osservati già il 26 maggio, con attacchi in corso che usano payload serializzati in base64 per eseguire codice arbitrario senza autenticazione.
- CISA ha inserito CVE-2026-45247 nel KEV il 3 giugno 2026; la scadenza per le agenzie federali è il 6 giugno per BOD 22-01.
- Il vettore è un PHP object injection (CWE-502) nel plugin Mirasvit Full Page Cache Warmer per Magento 2, versioni precedenti alla 1.11.12.
- Imperva ha osservato exploitation attiva con payload base64-encoded che invocano
system()ecurrent()per esecuzione remota di comandi. - Sansec stima circa 6.000 store con estensioni Mirasvit attive, con numero reale probabilmente superiore per mascheramento CDN.
Il meccanismo: da oggetto serializzato a esecuzione remota
La falla risiede nel modo in cui il plugin Mirasvit Full Page Cache Warmer gestisce dati serializzati nelle richieste HTTP al storefront. Un attaccante può iniettare oggetti PHP controllati che, al momento della deserializzazione tramite unserialize(), attivano gadget chain presenti nelle classi di Magento e delle sue dipendenze. Sansec ha classificato la vulnerabilità come PHP object injection CWE-502: "An attacker controls the objects PHP reconstructs. This is PHP object injection (CWE-502). Combined with a gadget chain from classes that Magento and its dependencies already ship, object injection escalates to remote code execution." L'assenza di requisiti di autenticazione rende il vettore completamente aperto: ogni endpoint storefront esposto a internet è potenzialmente raggiungibile.
Imperva, citata da The Hacker News, ha documentato payload "che contengono oggetti serializzati codificati in base64 progettati per attivare PHP Object Deserialization" e specifica che "i payload tentano di invocare funzioni come system() e current() per eseguire comandi arbitrari sul server sottostante. In diversi casi osservati, gli attaccanti hanno usato comandi di test per validare l'esecuzione con successo del codice." La presenza di comandi di probing conferma che la campagna è attiva, sistematica e verifica la compromissione prima di eventuali azioni successive.
La timeline: 10 giorni tra patch e allerta federale
La patch nella versione 1.11.12 è stata rilasciata il 25 maggio 2026, secondo Vulert e The Hacker News. Imperva ha registrato exploit "poco dopo la divulgazione", il 26 maggio. CISA ha inserito la CVE nel KEV il 3 giugno, fissando la scadenza al 6 giugno per le agenzie del Federal Civilian Executive Branch. Questo intervallo di 10 giorni tra patch e inclusione KEV, con exploitation attiva già al giorno successivo alla correzione, illustra un pattern ricorrente nell'ecosistema Magento: le estensioni terze parte ricevono attenzione minore rispetto al core, i negozi non aggiornano tempestivamente, e gli attaccanti monitorano i changelog dei vendor di plugin con strumenti automatizzati.
Il National Vulnerability Database assegna a CVE-2026-45247 il vettore CVSS 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N, confermando accesso di rete non autenticato con impatto elevato su confidenzialità, integrità e disponibilità. Il punteggio CVSS 9.8 è riportato da SecurityWeek, The Hacker News e dal blog di Thomas Harris, con convergenza tra fonti tecniche e giornalistiche.
Geografia e target: gaming e business, primi a pagare
I settori maggiormente colpiti sono siti di gaming e business, con concentrazione geografica negli Stati Uniti, Regno Unito, Francia e Australia, secondo Vulert e The Hacker News. La scelta dei target non è casuale: piattaforme e-commerce gestiscono dati di pagamento, identità cliente e flussi di cassa che amplificano il valore dell'accesso iniziale. Sansec ha identificato circa 6.000 store con estensioni Mirasvit attive, specificando che "il numero esatto è probabilmente più alto poiché le content delivery network come Cloudflare mascherano le installazioni." La cifra è una stima di esposizione, non di compromissione: non emerge quanti siti siano stati effettivamente violati rispetto a quelli sondati.
Il rischio di pivot verso la supply chain è intrinseco alla posizione di Magento come piattaforma B2B e B2C: un negozio compromesso può fungire da vettore per clienti business, fornitori o integrazioni con ERP e sistemi di magazzino. Le fonti non documentano breach di dati o deployment ransomware confermati attribuibili a questa CVE, ma la natura dell'accesso RCE rende tali escalation tecnicamente plausibili senza che il dossier le verifichi.
"An attacker controls the objects PHP reconstructs. This is PHP object injection (CWE-502). Combined with a gadget chain from classes that Magento and its dependencies already ship, object injection escalates to remote code execution." — Sansec
Cosa fare adesso
- Aggiornare immediatamente Mirasvit Full Page Cache Warmer alla versione 1.11.12 o successiva, rilasciata il 25 maggio 2026, su ogni istanza Magento 2 esposta.
- Verificare nei log HTTP le richieste con parametri contenenti stringhe base64 sospette o chiamate a
unserialize()nel contesto del plugin Cache Warmer, con attenzione ai tentativi di invocaresystem()ecurrent(). - Controllare la presenza di versioni vulnerabili (< 1.11.12) negli ambienti di staging, test o replica che condividono credenziali o accessi con la produzione.
- Valutare la superficie di esposizione delle estensioni terze parte nel proprio stack Magento: il core aggiornato non protegge da plugin obsoleti con privilegi di esecuzione.
Perché le estensioni Magento restano un buco cieco
La struttura modulare di Magento 2, che permette a sviluppatori terzi di estendere il core con plugin distribuiti tramite marketplace o canali diretti, genera una superficie di attacco frammentata. Il vendor del core, Adobe, rilascia aggiornamenti di sicurezza regolari con advisory strutturati, ma gli sviluppatori di estensioni operano con cicli di disclosure non uniformi: in questo caso, la correzione è avvenuta tramite changelog senza advisory indipendente documentato nel dossier. I negozi che confidano nella protezione del core aggiornato restano esposti se un singolo plugin introduce una classe serializzabile abusabile.
Il caso CVE-2026-45247 evidenzia un asimmetria operativa: gli attaccanti hanno strumenti per monitorare le release di plugin popolari e costruire exploit entro ore, mentre i difensori devono ricostruire manualmente l'inventario delle estensioni attive. La stima di Sansec su circa 6.000 installazioni — con reale esposizione superiore — suggerisce che molti operatori ignorano di eseguire il plugin. La scadenza CISA di 72 ore è un segnale politico di gravità; per il settore privato, l'urgenza equivalente dipende dalla consapevolezza del proprio stack, non dalla compliance regulatoria.
Domande frequenti
La vulnerabilità colpisce Adobe Commerce o solo Magento open source?
La falla risiede nel plugin Mirasvit Full Page Cache Warmer, un'estensione terza parte installabile su entrambe le edizioni. La piattaforma core, sia Adobe Commerce che Magento Open Source, è vulnerabile solo se il plugin è presente in versione precedente alla 1.11.12.
Perché CISA ha imposto solo 72 ore di margine?
BOD 22-01 stabilisce scadenze automatiche basate sulla data di inserimento nel KEV catalog. Per CVE aggiunte dopo specifici eventi di exploitation, il sistema assegna finestre brevi quando l'attività in-the-wild è documentata e la patch è già disponibile. Il 6 giugno 2026 è la scadenza calcolata per questa entrata, non una valutazione ad hoc della complessità di remediation.
È necessario un attacco manuale o esistono exploit automatizzati?
Il dossier non documenta la disponibilità di proof-of-concept pubblico o toolkit automatizzati. Tuttavia, la struttura del payload osservata da Imperva — oggetti serializzati codificati in base64 con comandi di test — indica che gli attaccanti dispongono già di implanti funzionanti, rendendo la protezione via patch prioritaria rispetto alla ricerca di indicatori.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://vulert.com/blog/magento-cve-2026-45247-added-to-cisa-kev/
- https://thomasharris6.wordpress.com/2026/06/04/cisa-adds-exploited-magento-rce-flaw-cve-2026-45247-to-kev-catalog/
- https://howtofix.guide/mirasvit-cache-warmer-cve-2026-45247-magento-rce/
- https://cybersecuritynews.com/magento-cache-warmer-rce-flaw-exploited/
- https://www.securityweek.com/mirasvit-vulnerability-exploited-to-execute-code-on-magento-servers/
- https://nvd.nist.gov/vuln/detail/CVE-2026-45247
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://www.cisa.gov/news-events/alerts/2026/06/03/cisa-adds-one-known-exploited-vulnerability-catalog
- https://thehackernews.com/2026/06/cisa-adds-exploited-magento-rce-flaw.html