Mirasvit Cache Warmer: CVE-2026-45247 aktiv ausgenutzt

Wer einen Online-Shop mit Magento betreibt, sollte JETZT hinschauen. Sicherheitsforscher und die US-Behörde CISA schlagen Alarm: Eine kritische Lücke in einer beliebten Magento-Erweiterung wird gerade aktiv für Angriffe missbraucht. Der Schweregrad ist mit CVSS 9.8 fast am Maximum — und es braucht kein Passwort, um zuzuschlagen.

GEFAHR! Was genau ist passiert?

Betroffen ist der Mirasvit Full Page Cache Warmer, eine weit verbreitete Erweiterung, die Magento-Shops schneller macht, indem sie den Seiten-Cache automatisch vorwärmt. Genau dieser Mechanismus ist das Einfallstor.

Die Schwachstelle trägt die Kennung CVE-2026-45247. Dahinter steckt eine sogenannte Deserialisierung nicht vertrauenswürdiger Daten. Im Klartext: Ein Angreifer schickt ein präpariertes Datenpaket über ein Cookie namens CacheWarmer — und der Server führt darin verstecken PHP-Code einfach aus. Das Ergebnis ist eine Remote Code Execution, also die komplette Übernahme des Shops aus der Ferne, ganz ohne Anmeldung.

SCHOCK: Die Angriffe laufen schon

Das ist keine Theorie. Die Sicherheitsfirma Imperva beobachtet bereits laufende Angriffe: Über manipulierte HTTP-Anfragen werden base64-kodierte Schadobjekte eingeschleust, um die Lücke auszunutzen. Weil aktiv angegriffen wird, hat die CISA CVE-2026-45247 am 4. Juni in ihren berüchtigten Katalog bekannter ausgenutzter Lücken (KEV) aufgenommen.

Laut dem Magento-Spezialisten Sansec laufen rund 6.000 Shops mit Mirasvit-Erweiterungen — die echte Zahl dürfte höher liegen, weil viele Installationen hinter Diensten wie Cloudflare verborgen sind. Im Visier stehen vor allem Gaming- und Business-Seiten, am häufigsten getroffen wurden Shops in den USA, Großbritannien, Frankreich und Australien.

So rettest du deinen Shop in 5 MINUTEN

Die gute Nachricht: Es gibt einen Patch. Mirasvit hat die Lücke am 25. Mai geschlossen. Du musst nur handeln.

1. Update einspielen: Aktualisiere die Erweiterung auf Version 1.11.12 oder neuer. Alle älteren Versionen sind verwundbar.

2. Logs durchsuchen: Prüfe deine Server- und Webserver-Logs auf verdächtige Anfragen mit dem CacheWarmer-Cookie oder ungewöhnliche, lange base64-Zeichenketten.

3. Admin-Konten checken: Schau nach, ob es neue, unbekannte Administrator-Konten gibt — ein klassisches Zeichen für eine erfolgreiche Übernahme.

4. Hinter einem Schutzschild? Eine Web Application Firewall (WAF) kann viele dieser Angriffe abfangen, ersetzt aber niemals das Update.

FAZIT: Nicht abwarten

Eine 9,8er-Lücke, die ohne Login zur kompletten Server-Übernahme führt und bereits aktiv ausgenutzt wird, ist so kritisch wie es nur geht. Wer Magento mit der Mirasvit-Erweiterung betreibt, sollte das Update heute einspielen — nicht morgen.

Häufige Fragen

Welche Versionen sind betroffen?

Verwundbar sind alle Versionen des Mirasvit Full Page Cache Warmer vor 1.11.12. Der Patch wurde am 25. Mai 2026 veröffentlicht. Wer eine ältere Version einsetzt, ist angreifbar — unabhängig von der Magento- oder Adobe-Commerce-Version dahinter.

Wie merke ich, ob mein Shop verwundbar ist?

Prüfe in der Magento-Administration die installierte Version der Mirasvit-Erweiterung. Ist sie älter als 1.11.12, besteht akute Gefahr. Durchsuche zusätzlich deine Logs nach Anfragen mit dem CacheWarmer-Cookie und ungewöhnlich langen base64-Zeichenketten.

Wie behebe ich das Problem konkret?

Aktualisiere die Erweiterung sofort auf Version 1.11.12 oder neuer. Danach solltest du die Server-Logs und die Liste der Admin-Konten auf Spuren eines Einbruchs kontrollieren und bei Verdacht alle Zugangsdaten zurücksetzen.

Gab es schon aktive Angriffe?

Ja. Die Sicherheitsfirma Imperva beobachtet laufende Angriffe, und die US-Behörde CISA hat die Lücke am 4. Juni 2026 in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Das ist ein klares Signal, dass die Lücke in freier Wildbahn missbraucht wird.

SHOP-ALARM! Eine 9,8er-Lücke kapert JETZT tausende Magento-Shops — so rettest du deinen Server SOFORT