Magento エクステンションの脆弱性 CVE-2026-45247：デシリアライズによりリモート・コード実行が可能

Critical Magento Cache Plugin Vulnerability Enables Remote Code Execution Attacks

2026/06/01 gbhackers — Magento エクステンションに存在する深刻なセキュリティ脆弱性により、数千規模のオンラインストアがリモート・コード実行 (RCE) 攻撃の危険にさらされている。Magento および Adobe Commerce 向けのフルページ・キャッシュ・エクステンション Mirasvit Cache Warmer プラグインに存在する、認証不要の PHP オブジェクト・インジェクション脆弱性が、Sansec のセキュリティ研究者により特定された。この CVE-2026-45247 (CVSS 9.8) を悪用する未認証の攻撃者は、影響を受けるサーバ上で任意のコード実行を可能にする。

この脆弱性は、プラグインのキャッシュ機構で発生する、ユーザー制御入力に対する不適切な処理に起因する。具体的には、特別に細工された CacheWarmer cookie を含むストアフロント・リクエストがアプリケーションにより処理され、PHP のネイティブ関数である unserialize() に直接渡される。

このプラグインは、デシリアライズ時に生成可能なクラスを制限していないため、攻撃者は悪意のシリアライズ済みオブジェクトを注入できる。この挙動により CWE-502 に分類される PHP オブジェクト・インジェクションが生じる。さらに、Magento や依存関係に存在する既知のガジェット・チェーンとの連鎖により、完全なリモート・コード実行へと発展する可能性がある。

Magento キャッシュ・プラグインの脆弱性

Mirasvit Cache Warmer プラグインは、通貨や顧客グループなどの異なるユーザー・コンテキスト向けに、キャッシュされたページを事前生成するよう設計されている。これらのバリエーションを個別に処理するために、同プラグインはセッション状態データを cookie にエンコードして各リクエストと共に送信する。その後にサーバ側では cookie を読み取り、 unserialize() を使用してセッションを復元する仕組みとなっている。

しかし、この処理は内部のキャッシュ・ウォーミング操作だけでなく、すべてのストアフロント・リクエストで実行される。その一方で、 cookie の値はクライアント由来であり、検証や制限が行われていないため、攻撃者はデシリアライズ時のオブジェクト生成を操作するための、悪意のペイロード作成を可能にする。

Mirasvit Cache Warmer バージョン 1.11.12 未満の、すべてのバージョンが影響を受ける。ただし、このエクステンションは他の Mirasvit パッケージとバンドルされることが多いため、多くのストア運営者がインストールに気付いていない可能性があり、さらにリスクを高めている。

実際に Sansec の推定によると、少なくとも 6,000 の Magento ストアが脆弱な Mirasvit コンポーネントを実行しているが、 CDN によるマスキングの影響もあるため、さらに実数が増大する可能性がある。

Mirasvit は 2026年5月21日に通知を受け、2026年5月25日に修正版である 1.11.12 を公開して迅速に対応した。なお、Sansec Shield の保護機能を利用する顧客は、この脆弱性が発見された 2026年4月24日の時点で既に保護されていた。

悪用の試みは、HTTP リクエスト内に特徴的な痕跡を残す。セキュリティ・チームにとって必要なことは、不審なシリアライズ・データ・パターンを含む、CacheWarmer cookie を持つリクエストを監視することである。

具体的な指標としては、”CacheWarmer:” で始まり、その後に base64 エンコードされた文字列が続く cookie 値が挙げられる。この文字列は通常、 Tz／Qz／YT で始まるが、これらはシリアライズされた PHP オブジェクトの一般的なプレフィックスである。

対応策

すべてのユーザーに対して Mirasvit が強く推奨するのは、バージョン 1.11.12 以降への速やかなアップグレードである。直ちにパッチを適用できない環境では、Sansec Shield などの Web Application Firewall (WAF) を導入することで、悪用の試みをリアルタイムに遮断すべきだ。

さらに、管理者は eComscan などのツールを用いて侵害評価を実施し、Web シェル／バックドアの有無を確認する必要がある。それに加えて、Web からアクセス可能な領域である、”pub/” ディレクトリなどを重点的に確認し、侵害の兆候となる不正な PHP ファイルの存在を調査することが推奨される。

この脆弱性は認証が不要で悪用も容易であるため、大規模かつ自動化された攻撃が引き起こされる可能性がある。すでに公開情報およびパッチの詳細が利用可能となっていることから、悪用活動が急速に増加する可能性が高いと、セキュリティ専門家は警告している。 Magento または Adobe Commerce を運用する組織は、この脆弱性を最優先事項として扱い、侵害やデータ漏洩を防止する必要がある。

訳者後書：今回の Mirasvit Cache Warmer プラグインに関する問題は、ユーザー側から送られてくる cookie データに対する不適切なデシリアライズ処理が原因となっています。異なるユーザー環境向けにキャッシュを生成する際に、クライアント側から送信された特定のデータを検証せずに PHP の unserialize() 関数へ直接引き渡すという、設計上の弱点が存在していました。プログラム内部で生成されるクラスの制限も行われていなかったことで、攻撃者による悪意のオブジェクト注入を許し、リモートからの任意のコード実行を招く恐れがありました。 ご利用のチームは、ご注意ください。よろしければ、Magento での検索結果も、ご参照ください。