Sansec waarschuwt voor een kritieke beveiligingsfout in de REST API van Magento, waardoor niet-geverifieerde aanvallers willekeurige uitvoerbare bestanden kunnen uploaden en code kunnen uitvoeren en accounts kunnen overnemen.
De kwetsbaarheid heeft een codenaam gekregen PolyShell door Sansec vanwege het feit dat de aanval afhangt van het vermommen van kwaadaardige code als een afbeelding. Er is geen bewijs dat deze tekortkoming in het wild is uitgebuit. De fout bij het onbeperkt uploaden van bestanden is van invloed op alle Magento Open Source- en Adobe Commerce-versies tot en met 2.4.9-alpha2.
Het Nederlandse beveiligingsbedrijf zei dat het probleem voortkomt uit het feit dat Magento’s REST API bestandsuploads accepteert als onderdeel van de aangepaste opties voor het winkelwagenitem.
“Als een productoptie het type ‘file’ heeft, verwerkt Magento een ingebed file_info-object dat base64-gecodeerde bestandsgegevens, een MIME-type en een bestandsnaam bevat”, aldus het rapport. “Het bestand is geschreven naar pub/media/custom_options/quote/ op de server.”
Afhankelijk van de configuratie van de webserver kan de fout uitvoering van code op afstand mogelijk maken via PHP-upload of accountovername via opgeslagen XSS.
Sansec merkte ook op dat Adobe het probleem heeft opgelost in de pre-releasetak van 2.4.9 als onderdeel van APSB25-94, maar de huidige productieversies zonder een geïsoleerde patch laat.
“Hoewel Adobe een voorbeeld van een webserverconfiguratie levert die de gevolgen grotendeels zou beperken, gebruikt de meerderheid van de winkels een aangepaste configuratie van hun hostingprovider”, voegde het eraan toe.
Om elk potentieel risico te beperken, wordt e-commercewinkels geadviseerd om de volgende stappen uit te voeren:
- Beperk de toegang tot de uploadmap (“pub/media/custom_options/”).
- Controleer of nginx- of Apache-regels toegang tot de map verhinderen.
- Scan de winkels op webshells, backdoors en andere malware.
“Het blokkeren van de toegang blokkeert geen uploads, dus mensen kunnen nog steeds kwaadaardige code uploaden als je geen gespecialiseerde WAF (Web Application Firewall) gebruikt”, aldus Sansec.
De ontwikkeling komt op het moment dat Netcraft een voortdurende campagne markeerde waarbij duizenden Magento e-commercesites in meerdere sectoren en regio’s werden gecompromitteerd en geschonden. De activiteit, die begon op 27 februari 2026, houdt in dat de bedreigingsacteur platte tekstbestanden uploadt naar openbaar toegankelijke webmappen.
“Aanvallers hebben defacement-txt-bestanden ingezet op ongeveer 15.000 hostnamen verspreid over 7.500 domeinen, inclusief infrastructuur geassocieerd met prominente wereldwijde merken, e-commerceplatforms en overheidsdiensten”, aldus beveiligingsonderzoeker Gina Chow.
Het is momenteel niet duidelijk of de aanvallen misbruik maken van een specifieke Magento-kwetsbaarheid of een verkeerde configuratie, en dat het het werk is van één enkele bedreigingsacteur. De campagne heeft gevolgen gehad voor de infrastructuur van verschillende wereldwijd erkende merken, waaronder onder meer Asus, FedEx, Fiat, Lindt, Toyota en Yamaha.
The Hacker News heeft ook contact opgenomen met Netcraft om na te gaan of deze activiteit verband houdt met PolyShell, en we zullen het verhaal bijwerken als we iets horen.
