- Автор темы
- #1
Специалисты компании Sansec обнаружили уязвимость PolyShell, которая затрагивает все актуальные версии Magento Open Source и Adobe Commerce второй версии. Проблема позволяет без аутентификации загружать на сервер исполняемые файлы, что может привести к удаленному выполнению кода (RCE) или захвату учетных записей через хранимую XSS.
Корень этой уязвиомсти связан с REST API Magento, который принимает загрузку файлов в составе кастомных опций товара в корзине. Если у продукта есть опция с типом file, платформа обрабатывает встроенный объект file_info, содержащий Base64-закодированные данные файла, MIME-тип и имя файла. Загруженный таким образом файл записывается в директорию pub/media/custom_options/quote/ на сервере.
Название «PolyShell» отсылает к технике использования polyglot-файлов: загружаемый файл может одновременно работать и как изображение, и как скрипт. В зависимости от конфигурации веб-сервера это открывает путь либо к RCE, либо к перехвату аккаунтов через хранимую XSS.
Разработчики Adobe исправили проблему в рамках APSB25-94, однако пока патч доступен только в предрелизной ветке 2.4.9, а отдельного исправления для текущих продакшен-версий не существует. При этом в Sansec отмечают, что метод эксплуатации этого бага уже распространяется среди злоумышленников, и эксперты ожидают, что автоматизированные атаки на уязвимость начнутся в ближайшее время.
Пока в Adobe не выпустят полноценный патч, администраторам магазинов рекомендуется ограничить доступ к директории pub/media/custom_options/, убедиться, что правила nginx или Apache действительно блокируют доступ к ней, а также просканировать магазин на предмет загруженных веб-шеллов, бэкдоров и других угроз.
Параллельно с этим в компании Netcraft сообщили о масштабной кампании по дефейсу сайтов на базе Magento. Начиная с 27 февраля 2026 года атакующие разместили текстовые файлы со своими «подписями» более чем на 7500 сайтах. В большинстве случаев дефейсы содержали одну и ту же подпись — Typical Idiot Security. Под этим же ником злоумышленник публиковал результаты своих взломов в архиве дефейсов Zone-H, очевидно, нарабатывая себе репутацию.
Среди пострадавших от этой кампании оказались поддомены и региональные витрины Asus, BenQ, Citroën, Diesel, FedEx, Fiat, Lindt, Toyota и Yamaha, а также ряд государственных и университетских доменов.
В Netcraft полагают, что злоумышленник эксплуатирует уязвимость загрузки файлов без аутентификации, и отмечают сходство с атаками через баг SessionReaper, обнаруженный осенью 2025 года.
Корень этой уязвиомсти связан с REST API Magento, который принимает загрузку файлов в составе кастомных опций товара в корзине. Если у продукта есть опция с типом file, платформа обрабатывает встроенный объект file_info, содержащий Base64-закодированные данные файла, MIME-тип и имя файла. Загруженный таким образом файл записывается в директорию pub/media/custom_options/quote/ на сервере.
Название «PolyShell» отсылает к технике использования polyglot-файлов: загружаемый файл может одновременно работать и как изображение, и как скрипт. В зависимости от конфигурации веб-сервера это открывает путь либо к RCE, либо к перехвату аккаунтов через хранимую XSS.
Разработчики Adobe исправили проблему в рамках APSB25-94, однако пока патч доступен только в предрелизной ветке 2.4.9, а отдельного исправления для текущих продакшен-версий не существует. При этом в Sansec отмечают, что метод эксплуатации этого бага уже распространяется среди злоумышленников, и эксперты ожидают, что автоматизированные атаки на уязвимость начнутся в ближайшее время.
Пока в Adobe не выпустят полноценный патч, администраторам магазинов рекомендуется ограничить доступ к директории pub/media/custom_options/, убедиться, что правила nginx или Apache действительно блокируют доступ к ней, а также просканировать магазин на предмет загруженных веб-шеллов, бэкдоров и других угроз.
Параллельно с этим в компании Netcraft сообщили о масштабной кампании по дефейсу сайтов на базе Magento. Начиная с 27 февраля 2026 года атакующие разместили текстовые файлы со своими «подписями» более чем на 7500 сайтах. В большинстве случаев дефейсы содержали одну и ту же подпись — Typical Idiot Security. Под этим же ником злоумышленник публиковал результаты своих взломов в архиве дефейсов Zone-H, очевидно, нарабатывая себе репутацию.
Среди пострадавших от этой кампании оказались поддомены и региональные витрины Asus, BenQ, Citroën, Diesel, FedEx, Fiat, Lindt, Toyota и Yamaha, а также ряд государственных и университетских доменов.
В Netcraft полагают, что злоумышленник эксплуатирует уязвимость загрузки файлов без аутентификации, и отмечают сходство с атаками через баг SessionReaper, обнаруженный осенью 2025 года.