Kritische RCE-Lücke in Magento: CVE-2026-45247 aktiv ausgenutzt – Was deutsche Unternehmen jetzt tun müssen
Aktuell | Cybersicherheit | E-Commerce | NIS2
Einleitung: Alarmstimmung im deutschen E-Commerce
Die US-amerikanische Cybersicherheitsbehörde CISA hat am 4. Juni 2026 eine kritische Sicherheitslücke in den offiziellen Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen – und das aus gutem Grund: Die Schwachstelle CVE-2026-45247 mit einem CVSS-Score von 9.8 (von maximal 10) betrifft den weit verbreiteten Magento-Cache-Warmer der Erweiterung Mirasvit Cache Warmer, ein beliebtes Full-Page-Cache-Plugin für Magento-basierte Online-Shops.
Für deutsche Unternehmen ist das aus mehreren Gründen hochrelevant: Magento (heute Adobe Commerce) gehört zu den meistgenutzten E-Commerce-Plattformen im deutschsprachigen Raum. Viele mittelständische Händler, aber auch größere Unternehmen, betreiben ihre Online-Shops auf dieser Plattform – und setzen dabei häufig auf Drittanbieter-Erweiterungen wie Mirasvit, um die Performance zu steigern. Wer jetzt nicht handelt, riskiert nicht nur Datenverlust und Systemkompromittierung, sondern unter Umständen auch empfindliche Bußgelder nach NIS2 und der DSGVO.
Technischer Hintergrund: Was steckt hinter CVE-2026-45247?
Deserialisierung von nicht vertrauenswürdigem Input – einfach erklärt
Der technische Begriff, der hinter dieser Schwachstelle steckt, lautet „Deserialisierung von nicht vertrauenswürdigem Input" (Deserialization of Untrusted Data). Klingt komplex – ist aber mit einem Alltagsbeispiel schnell verständlich:
Stellen Sie sich vor, Ihr System empfängt ein Paket und öffnet es automatisch, ohne den Absender zu prüfen. Im schlimmsten Fall enthält das Paket nicht das Erwartete, sondern schadhaften Code, der sofort ausgeführt wird – direkt auf Ihrem Server.
Genau das passiert bei einer Deserialisierungslücke: Eine Anwendung wandelt eingehende Daten (serialisierte Objekte) zurück in ausführbare Programmobjekte, ohne ausreichend zu prüfen, ob diese Daten manipuliert wurden. Angreifer können so beliebigen Code auf dem Server ausführen – ein sogenannter Remote Code Execution (RCE)-Angriff.
Was bedeutet das konkret?
| Eigenschaft | Detail |
|---|---|
| CVE-ID | CVE-2026-45247 |
| CVSS-Score | 9.8 (Kritisch) |
| Betroffene Software | Mirasvit Cache Warmer (Magento-Extension) |
| Angriffsvektor | Remote, ohne Authentifizierung |
| Auswirkung | Vollständige Systemübernahme möglich |
| Exploit-Status | Aktiv in freier Wildbahn ausgenutzt |
Ein CVSS-Score von 9.8 bedeutet: Die Lücke ist ohne vorherige Anmeldung aus dem Internet ausnutzbar, erfordert keine Nutzerinteraktion und kann zur vollständigen Kompromittierung des betroffenen Systems führen. Angreifer könnten Kundendaten stehlen, Zahlungsinformationen abgreifen, Hintertüren installieren oder den gesamten Shop als Ausgangspunkt für weitere Angriffe missbrauchen.
Auswirkungen auf Deutschland: NIS2, BSI und DSGVO im Blick
NIS2-Pflichten für betroffene Unternehmen
Mit der Umsetzung der NIS2-Richtlinie in deutsches Recht (NIS2UmsuCG, in Kraft seit Oktober 2024) unterliegen deutlich mehr Unternehmen als bisher strengen Cybersicherheitspflichten. Betroffen sind unter anderem:
- Wesentliche Einrichtungen (z. B. größere Online-Händler, kritische Infrastrukturen)
- Wichtige Einrichtungen (z. B. mittelgroße E-Commerce-Unternehmen ab 50 Mitarbeitern oder 10 Mio. Euro Jahresumsatz)
Für diese Unternehmen gilt: Wird ein System durch CVE-2026-45247 kompromittiert, besteht eine Meldepflicht gegenüber dem BSI (Bundesamt für Sicherheit in der Informationstechnik). Die Fristen sind streng:
- Frühwarnung: innerhalb von 24 Stunden nach Entdeckung eines erheblichen Sicherheitsvorfalls
- Erster Bericht: innerhalb von 72 Stunden mit ersten Einschätzungen zum Vorfall
- Abschlussbericht: spätestens einen Monat nach dem Vorfall
Verstöße gegen diese Meldepflichten können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes nach sich ziehen.
DSGVO-Relevanz: Kundendaten im Fokus
Magento-Shops speichern regelmäßig personenbezogene Daten: Namen, Adressen, E-Mail-Adressen, Bestellhistorien und je nach Konfiguration auch Zahlungsdaten. Eine Kompromittierung durch CVE-2026-45247 kann daher gleichzeitig eine Datenpanne im Sinne des Art. 33 DSGVO darstellen – mit Meldepflicht an die zuständige Landesdatenschutzbehörde innerhalb von 72 Stunden.
Hinweis des BSI
Das BSI beobachtet aktiv die Ausnutzung kritischer Schwachstellen in Deutschland und gibt entsprechende Warnmeldungen heraus. Unternehmen sollten das BSI-Sicherheitsportal und den BSI-Newsletter regelmäßig verfolgen, um zeitnah über neue Bedrohungen informiert zu werden.
Praktische Schutzmaßnahmen: 7 konkrete Handlungsempfehlungen
1. Sofortige Inventur: Ist Mirasvit Cache Warmer im Einsatz?
Prüfen Sie unverzüglich, ob die betroffene Extension Mirasvit Cache Warmer in Ihrer Magento-Installation aktiv ist. Beauftragen Sie ggf. Ihren Hosting-Dienstleister oder Systemadministrator damit. Auch deaktivierte, aber noch installierte Erweiterungen können ein Risiko darstellen.
2. Patch einspielen oder Extension deaktivieren
Sobald ein offizieller Sicherheitspatch von Mirasvit verfügbar ist, muss dieser sofort eingespielt werden. Bis dahin gilt: Die Extension deaktivieren oder vollständig deinstallieren, um die Angriffsfläche zu reduzieren. Verfolgen Sie dazu den offiziellen Mirasvit-GitHub-Kanal und das Adobe-Security-Portal.
3. Web Application Firewall (WAF) aktivieren
Eine Web Application Firewall kann bekannte Angriffsmuster auf Deserialisierungslücken erkennen und blockieren, noch bevor sie den Server erreichen. Achten Sie darauf, dass Ihre WAF-Regeln aktuell sind und die Signaturen für CVE-2026-45247 enthalten.
4. Systemlogs auf Kompromittierung prüfen
Untersuchen Sie Ihre Server-Logs, Webserver-Logs und Anwendungslogs auf verdächtige Aktivitäten – insbesondere auf unerwartete Prozessaufrufe, neue Administratorkonten oder unbekannte Dateiänderungen im Magento-Verzeichnis. Tooling wie OSSEC, Wazuh oder kommerzielle SIEM-Lösungen können dabei helfen.
5. Prinzip der geringsten Rechte durchsetzen
Stellen Sie sicher, dass der Webserver-Prozess und alle Magento-relevanten Dienste nur mit minimal notwendigen Rechten laufen. Eine erfolgreiche RCE-Ausnutzung ist deutlich gefährlicher, wenn der Angreifer gleich Root-Rechte erlangt.
6. Regelmäßige Backups und Wiederherstellungsplan
Pflegen Sie aktuelle, geprüfte Backups Ihrer Magento-Installation und Datenbank – und testen Sie regelmäßig, ob diese auch tatsächlich wiederherstellbar sind. Ein Ransomware-Angriff nach einer RCE-Ausnutzung kann sonst existenzbedrohend werden.
7. Drittanbieter-Extensions systematisch überwachen
CVE-2026-45247 zeigt exemplarisch: Das Sicherheitsrisiko steckt oft nicht im Kernsystem, sondern in Drittanbieter-Plugins. Führen Sie ein vollständiges Inventar aller eingesetzten Extensions, prüfen Sie regelmäßig deren Sicherheitsstatus und abonnieren Sie die Sicherheitshinweise der jeweiligen Anbieter.
Fazit: Schnelles Handeln schützt – Nichtstun kostet
CVE-2026-45247 ist ein Paradebeispiel dafür, wie eine einzige unsichere Drittanbieter-Erweiterung einen kompletten E-Commerce-Betrieb gefährden kann. Der CVSS-Score von 9.8 und die bestätigte aktive Ausnutzung in freier Wildbahn lassen keinen Spielraum für Abwarten. Deutsche Unternehmen stehen dabei nicht nur vor einem technischen Problem, sondern auch vor rechtlichen Konsequenzen durch NIS2 und DSGVO, wenn Vorfälle nicht rechtzeitig erkannt, gemeldet und behandelt werden.
Die gute Nachricht: Wer strukturiert vorgeht, die genannten Sofortmaßnahmen umsetzt und seine IT-Sicherheitsprozesse systematisch aufstellt, ist deutlich besser geschützt – und kann im Ernstfall auch die Meldepflichten fristgerecht erfüllen.
Call-to-Action: NIS2-Compliance systematisch managen
Gerade Fälle wie CVE-2026-45247 verdeutlichen, wie wichtig ein strukturiertes Vulnerability-Management und klare Prozesse für die Incident Response sind. NIS2-Compliance-Softwarelösungen können dabei helfen, Schwachstellen im eigenen IT-Portfolio kontinuierlich zu überwachen, Meldepflichten zu dokumentieren und Fristen automatisch zu tracken – anstatt im Ernstfall manuell im Chaos zu suchen. Wenn Ihr Unternehmen noch keine dedizierte Lösung für das NIS2-Compliance-Management einsetzt, ist jetzt der richtige Zeitpunkt, sich darüber zu informieren.
Quellen: CISA KEV Catalog, The Hacker News (04.06.2026), BSI-Grundschutz, NIS2UmsuCG, DSGVO Art. 33, ENISA Threat Landscape 2025