ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Компания Sansec предупреждает о критической уязвимости в REST API Magento, которая может позволить неавторизованным злоумышленникам загружать произвольные исполняемые файлы, выполнять код и перехватить контроль над учетной записью.

Sansec присвоила этой уязвимости кодовое название PolyShell, поскольку атака основана на маскировке вредоносного кода под изображение. Нет данных о том, что эта уязвимость уже использовалась в реальных условиях. Уязвимость, связанная с неограниченной загрузкой файлов, затрагивает все версии Magento Open Source и Adobe Commerce до 2.4.9-alpha2.

Голландская компания по обеспечению безопасности заявила, что проблема связана с тем, что REST API Magento принимает загрузку файлов в рамках настраиваемых параметров товара в корзине.

«Когда опция продукта имеет тип «файл», Magento обрабатывает встроенный объект file_info, содержащий данные файла, закодированные в base64, тип MIME и имя файла», — говорится в сообщении. «Файл записывается в папку pub/media/custom_options/quote/ на сервере».

В зависимости от конфигурации веб-сервера эта уязвимость может позволить удаленное выполнение кода через загрузку PHP или перехват учетной записи через сохраненный XSS.

Sansec также отметила, что Adobe исправила эту проблему в предрелизной ветке 2.4.9 в рамках APSB25-94, но оставила текущие производственные версии без отдельного патча.

«Хотя Adobe предоставляет пример конфигурации веб-сервера, которая в значительной степени ограничивает последствия, большинство магазинов используют настраиваемую конфигурацию от своего хостинг-провайдера», — добавили в компании.

Для снижения потенциального риска интернет-магазинам рекомендуется выполнить следующие шаги:

Ограничить доступ к каталогу загрузки («pub/media/custom_options/»).

Убедитесь, что правила nginx или Apache блокируют доступ к этому каталогу.

Просканировать магазины на наличие веб-оболочек, бэкдоров и другого вредоносного ПО.

«Блокировка доступа не блокирует загрузку, поэтому пользователи по-прежнему смогут загружать вредоносный код, если вы не используете специализированный WAF [Web Application Firewall]», — сообщила Sansec.

Эти события произошли после того, как Netcraft сообщила о продолжающейся кампании, связанной с взломом и дефейсом тысяч сайтов электронной коммерции на Magento в различных секторах и регионах. Активность, начавшаяся 27 февраля 2026 года, включает в себя загрузку злоумышленником файлов в виде открытого текста в общедоступные веб-каталоги.

«Злоумышленники разместили файлы txt с дефейсом на примерно 15 000 хост-имен, охватывающих 7 500 доменов, включая инфраструктуру, связанную с известными мировыми брендами, платформами электронной коммерции и государственными службами», — сообщила исследовательница в области безопасности Джина Чоу.

В настоящее время неясно, используют ли атаки конкретную уязвимость или неправильную настройку Magento, а также является ли это делом рук одного злоумышленника. Кампания затронула инфраструктуру нескольких всемирно известных брендов, включая Asus, FedEx, Fiat, Lindt, Toyota и Yamaha.

The Hacker News также обратился к Netcraft, чтобы выяснить, имеет ли эта активность отношение к PolyShell, и мы обновим эту новость, если получим ответ.