Sansec advierte sobre una defecto de seguridad crítica en la API REST de Magento que podría permitir a atacantes no autenticados cargar ejecutables arbitrarios y ganar la ejecución de código y el control de cuentas.
La vulnerabilidad ha sido nombrada en código. PoliShell por Sansec oportuno a que el ataque consiste en disfrazar el código desconfiado como una imagen. No hay evidencia de que la deficiencia haya sido explotada en la naturaleza. La defecto en la carga de archivos sin restricciones afecta a todas las versiones de Magento Open Source y Adobe Commerce hasta 2.4.9-alpha2.
La firma de seguridad holandesa dijo que el problema surge del hecho de que la API REST de Magento acepta cargas de archivos como parte de las opciones personalizadas para el artículo del carrito.
“Cuando una opción de producto tiene el tipo ‘archivo’, Magento procesa un objeto file_info incrustado que contiene datos de archivo codificados en base64, un tipo MIME y un nombre de archivo”, decía. “El archivo está escrito en pub/media/custom_options/quote/ en el servidor”.
Dependiendo de la configuración del servidor web, la defecto puede permitir la ejecución remota de código mediante la carga de PHP o la apropiación de cuentas a través de XSS almacenado.
Sansec incluso señaló que Adobe solucionó el problema en la rama de prelanzamiento 2.4.9 como parte de APSB25-94, pero deja las versiones de producción actuales sin un parche marginado.
“Si admisiblemente Adobe proporciona una configuración de servidor web de muestra que limitaría en gran medida las consecuencias, la mayoría de las tiendas utilizan una configuración personalizada de su proveedor de alojamiento”, añadió.
Para mitigar cualquier aventura potencial, se recomienda a las tiendas de comercio electrónico que realicen los siguientes pasos:
- Restrinja el acercamiento al directorio de carga (“pub/media/custom_options/”).
- Verifique que las reglas de nginx o Apache impidan el acercamiento al directorio.
- Escanee las tiendas en averiguación de web shells, puertas traseras y otro malware.
“Incomunicar el acercamiento no bloquea las cargas, por lo que las personas aún podrán cargar códigos maliciosos si no se utiliza un WAF (Web Application Firewall) especializado”, dijo Sansec.
El crecimiento se produce cuando Netcraft señaló una campaña en curso que involucra el compromiso y la desfiguración de miles de sitios de comercio electrónico Magento en múltiples sectores y geografías. La actividad, que comenzó el 27 de febrero de 2026, implica que el actor de amenazas cargue archivos de texto sin formato en directorios web de acercamiento divulgado.
“Los atacantes han implementado archivos de texto de destrucción de datos en aproximadamente 15.000 nombres de host que abarcan 7.500 dominios, incluida la infraestructura asociada con marcas globales prominentes, plataformas de comercio electrónico y servicios gubernamentales”, dijo la investigadora de seguridad Gina Chow.
Actualmente no está claro si los ataques explotan una vulnerabilidad específica de Magento o una mala configuración, y son obra de un único actor de amenazas. La campaña ha impactado la infraestructura de varias marcas reconocidas a nivel mundial, incluidas Asus, FedEx, Fiat, Lindt, Toyota y Yamaha, entre otras.
Cuando se le contactó para hacer comentarios, el investigador de Netcraft, Harry Everett, dijo a The Hacker News que “No hemos pasado explotación relacionada con el directorio custom_options descrito por Sansec, pero hemos observado al menos un caso de un archivo PHP desconfiado subido a /media/customer_address, que puede estar relacionado con la explotación de SessionReaper. Continuamos monitoreando”.
(La historia se actualizó posteriormente de la publicación para incluir una respuesta de Netcraft).
