Sansec advierte que la API REST de Magento tiene una falla de seguridad crítica que podría permitir que un atacante no autenticado cargue archivos ejecutables arbitrarios y realice la ejecución de código o la apropiación de cuentas.
Sansec denominó a esta vulnerabilidad PolyShell debido a que el ataque se basa en disfrazar el código malicioso como una imagen. No hay pruebas de que esta deficiencia se haya aprovechado en la práctica. La falla de carga ilimitada de archivos afecta a todas las versiones de código abierto de Magento y Adobe Commerce hasta 2.4.9-alpha2.
La firma de seguridad holandesa dijo que el problema surge del hecho de que la API REST de Magento acepta la carga de archivos como parte de las opciones personalizadas para los artículos del carrito.
«Si la opción del producto es de tipo ‘archivo’, Magento procesa un objeto file_info incrustado que contiene los datos del archivo codificados en base64, el tipo MIME y el nombre del archivo». «El archivo se escribirá en pub/media/custom_options/quote/ en el servidor».
Dependiendo de la configuración del servidor web, esta vulnerabilidad podría permitir la ejecución remota de código mediante la carga de PHP o la apropiación de cuentas mediante XSS almacenado.
Sansec también señaló que Adobe solucionó el problema en la rama de prelanzamiento 2.4.9 como parte de APSB25-94, pero no se aplicó ningún parche por separado a la versión actual del producto.
«Adobe proporciona configuraciones de servidor web de muestra que reducen en gran medida el impacto, pero la mayoría de las tiendas utilizan configuraciones personalizadas de sus proveedores de alojamiento», añadió.
Para reducir los riesgos potenciales, recomendamos que las tiendas de comercio electrónico sigan los siguientes pasos:
Restrinja el acceso al directorio de carga (‘pub/media/custom_options/’). Verifique que las reglas de nginx o Apache impidan el acceso al directorio. Escanee su tienda en busca de shells web, puertas traseras y otro malware.
«Bloquear el acceso no bloquea las cargas, por lo que se puede cargar código malicioso incluso si no se utiliza un WAF (firewall de aplicaciones web) dedicado», dijo Sansek.
Este desarrollo se produce después de que Netcraft nos alertara sobre una campaña en curso que implicaba comprometer y desfigurar miles de sitios de comercio electrónico Magento en múltiples sectores y geografías. Esta actividad, que comenzó el 27 de febrero de 2026, implica que los actores de amenazas carguen archivos de texto sin cifrar en directorios web de acceso público.
«Los atacantes implementaron archivos txt modificados en aproximadamente 15.000 nombres de host en 7.500 dominios, incluida infraestructura relacionada con marcas globales conocidas, plataformas de comercio electrónico y servicios gubernamentales», dijo la investigadora de seguridad Gina Chow.
Actualmente no está claro si el ataque explota vulnerabilidades específicas de Magento o configuraciones incorrectas, y es obra de un solo atacante. Esta campaña impactó la infraestructura de marcas de renombre mundial como Asus, FedEx, Fiat, Lindt, Toyota y Yamaha.
Hacker News también contactó a Netcraft para saber si esta actividad está relacionada con PolyShell. Actualizaré el artículo si recibo una respuesta.
Source link
