Den 3. juni 2026 la CISA til CVE-2026-45247 i Known Exploited Vulnerabilities Catalog. Det betyr at sårbarheten ikke lenger er teoretisk, den utnyttes aktivt i angrep mot nettbutikker som bruker Mirasvit Full Page Cache Warmer.
Mirasvit lager tilleggsprogramvare for Magento, e-handelsplattformen som driver tusenvis av nettbutikker. Full Page Cache Warmer er et verktøy som skal gjøre nettsider raskere ved å forhåndslaste innhold. Men en designfeil i produktet har gitt angripere en åpen dør.
Fristen for å fikse sårbarheten er 6. juni 2026, tre dager etter varselet. For føderale etater i USA er det en ordre. For norske bedrifter er det et tydelig tegn på alvorlighetsgrad.
Hva er sårbarheten?
CVE-2026-45247 er klassifisert som en deserialization-sårbarhet (CWE-502). Det høres teknisk ut, men mekanismen er enkel: Mirasvit Full Page Cache Warmer leser data fra en informasjonskapsel kalt CacheWarmer, og behandler innholdet som pålitelig kode uten å validere det først.
En angriper kan sende en spesiallaget informasjonskapsel til serveren. Serveren deserialiserer innholdet, det vil si at den pakker ut og utfører PHP-kode som angriperen har kontroll over. Resultatet er full fjernkontroll over nettbutikken.
Angrepet krever ingen innlogging, ingen brukernavn, ingen passord. Informasjonskapselen er nok.
Hvem rammes?
Alle Magento-butikker som har installert Mirasvit Full Page Cache Warmer er potensielt sårbare. Produktet brukes av bedrifter som vil forbedre lastehastighet på nettsider, spesielt nettbutikker med store produktkataloger.
Mirasvit oppgir ikke eksakt antall installasjoner, men selskapet er en etablert leverandør i Magento-økosystemet. Norske e-handelsbedrifter som bruker Magento bør sjekke om de har denne utvidelsen installert.
CISA har ikke bekreftet om sårbarheten er knyttet til ransomware-kampanjer, men remote code execution er en preferert inngangsvektor for både datatyver og løsepengevirus.
Hva må du gjøre?
Mirasvit har publisert en sikkerhetsoppdatering. Du finner changelog på Mirasvits nettsider. Installasjonen må oppdateres umiddelbart.
Hvis du ikke kan oppdatere med en gang, vurder å deaktivere Mirasvit Full Page Cache Warmer midlertidig til patchen er på plass. Det vil gi tregere sider, men det er bedre enn å miste kontrollen over hele nettbutikken.
CISA anbefaler føderale etater å følge BOD 22-01, som innebærer enten å patche innen fristen eller slutte å bruke produktet. For skytjenester må leverandøren bekrefte at oppdateringen er implementert.
Sjekkliste for bedrifter med Magento
- Logg inn i Magento-administrasjonspanelet og sjekk installerte utvidelser
- Se etter "Mirasvit Full Page Cache Warmer" under aktive moduler
- Hvis produktet er installert: last ned siste versjon fra Mirasvit
- Test oppdateringen i staging-miljø før produksjon hvis mulig
- Verifiser at CacheWarmer-cookien ikke lenger aksepterer usignert input
Hvorfor CISA KEV betyr noe
CISA Known Exploited Vulnerabilities Catalog er ikke en fullstendig liste over alle sårbarheter. Det er en liste over CVE-er der amerikanske myndigheter har sett faktiske angrep. Når en CVE dukker opp her, er det fordi noen allerede bruker den.
CVE-2026-45247 ble lagt til 3. juni. Det betyr at angripere sannsynligvis har hatt tilgang til exploit-kode i flere dager eller uker før det. Bedrifter som venter med å patche risikerer at angripere allerede har etablert tilgang.
Deserialization-sårbarheter er spesielt attraktive for angripere fordi de ofte gir direkte kodeeksekverering uten å måtte utnytte flere hull i kjeden. Én kapsel, én forespørsel, full kontroll.
Videre lesning
NIST har publisert detaljert teknisk informasjon om CVE-2026-45247 i National Vulnerability Database. Der finner du CVSS-score, berørte versjoner og lenker til ekstern dokumentasjon.
CISA KEV-katalogen oppdateres hver dag. Du kan abonnere på RSS-feed eller laste ned hele listen som JSON/CSV for automatisk prosessering.
For norske bedrifter som trenger hjelp med å kartlegge om de er sårbare, tilbyr Mustvedt Sentinel flere verktøy for domene-overvåkning. PLUSS-abonnenter får daglig varsling om endringer i SSL-sertifikater, DNS-konfigurasjon og eksponerte filer, alt som kan indikere at et angrep har funnet sted. Les mer på Sentinel-siden.