MagentoおよびAdobe Commerceで広く利用されているキャッシュ拡張機能の一つ、Mirasvit Full Page Cache Warmerに、認証不要でリモートコード実行が可能となる深刻な脆弱性が公表されました。CVSSv3.1スコアは9.8と評価されています。
Sansecによると、Mirasvit Full Page Cache WarmerはMagento 2向けの拡張機能で、通貨・顧客グループ・言語・その他のセッション固有設定といったページのあらゆる「vary」状態に対して、ストアのフルページキャッシュを事前に生成するものです。
この脆弱性の深刻な点は、当該プラグインがウォーマー内部のトラフィックだけでなく、すべてのストアフロントリクエストに対して実行される設計になっているため、インターネットに接続した攻撃者であれば誰でも脆弱なコードパスにアクセスできてしまうことにあります。
バージョン1.11.12より前のMirasvit Cache Warmerはすべて影響を受けます。また、この拡張機能は複数のMirasvitパッケージにバンドルされており、直接インストールしていないにもかかわらず数千のマーチャントが利用している状況です。
Sansecのスキャンでは、Mirasvit拡張機能を稼働しているストアが約6,000件確認されましたが、CloudflareなどのCDNがフィンガープリントによる検出を困難にしているため、実際の数はこれをはるかに上回るとみられています。
Sansecが本脆弱性を発見したのは2026年4月24日で、同日にShieldユーザー向けの仮想パッチを展開しました。Mirasvitへの通知は2026年5月21日に行われ、同社は迅速に対応し、わずか4日後に修正済みバージョン1.11.12をリリースしています。
CVE-2026-45247は正式に採番され、2026年5月26日に公開されました。ImpervaおよびほかのベンダーもPatch確認を経て、2026年5月28日までに保護機能を提供しています。
セキュリティチームは、脆弱性公開期間中の異常なアクティビティについてログを確認するとともに、予期しない管理者アカウントの新規作成や設定変更がないかチェックすることが推奨されます。
Mirasvitは、Sansecによる協調的な情報開示を受けて数日以内に修正プログラムを提供しました。しかし、認証が一切不要で通常のストアフロントトラフィックが攻撃経路となるため、パッチを適用していないストアは自動スキャンや大規模な悪用に対して依然として深刻なリスクにさらされています。
翻訳元: https://cyberpress.org/critical-magento-cache-plugin-flaw/