Μια κρίσιμη απεριόριστη ευπάθεια μεταφόρτωσης αρχείων, που ονομάζεται “PolyShell”, χρησιμοποιείται ενεργά στα καταστήματα Magento και Adobe Commerce.
Ανακαλύφθηκε από την ομάδα Sansec Forensics, αυτό το ελάττωμα επιτρέπει σε μη επαληθευμένους εισβολείς να εκτελέσουν απομακρυσμένο κώδικα (RCE) και να αναλάβουν πλήρως τους λογαριασμούς.
Χωρίς επίσημη ενημέρωση κώδικα διαθέσιμη για περιβάλλοντα παραγωγής, οι χάκερ πραγματοποιούν μαζικές αυτοματοποιημένες επιθέσεις εναντίον ευάλωτων πλατφορμών ηλεκτρονικού εμπορίου από τα μέσα Μαρτίου 2026.
Ευπάθεια PolyShell εκμεταλλεύονται
Η εκμετάλλευση PolyShell στοχεύει το Magento REST API, συγκεκριμένα τις ανώνυμες διαδρομές καλαθιού επισκεπτών. Αυτό επιτρέπει στους φορείς απειλής να παρακάμψουν εντελώς τον έλεγχο ταυτότητας.
Όταν μια επιλογή προϊόντος έχει ρυθμιστεί να δέχεται αρχεία, το Magento επεξεργάζεται δεδομένα αρχείου με κωδικοποίηση base64 και τα εγγράφει απευθείας στον διακομιστή pub/media/custom_options/quote/ τηλεφωνικός κατάλογος.
Η ευπάθεια υπάρχει επειδή το σύστημα δεν διαθέτει τρεις κρίσιμους ελέγχους ασφαλείας:
- Δεν υπάρχει επικύρωση αναγνωριστικού επιλογής: Το αναγνωριστικό επιλογής που υποβλήθηκε δεν επαληθεύεται ποτέ σε σχέση με τις πραγματικές επιλογές του προϊόντος.
- Χωρίς πύλη τύπου επιλογής: Η λογική μεταφόρτωσης αρχείου ενεργοποιείται ανεξάρτητα από το αν το προϊόν έχει πράγματι επιλογή τύπου αρχείου.,
- Χωρίς περιορισμό επέκτασης αρχείου: Εκτελέσιμα επεκτάσεις όπως
.phpκαι.pharδεν αποκλείονται, βασίζονται μόνο σε μια επικύρωση κεφαλίδας εικόνας που εύκολα παρακάμπτεται.
Η Sansec παρατήρησε αυτοματοποιημένη μαζική σάρωση για αυτήν την ευπάθεια ξεκινώντας στις 19 Μαρτίου 2026, με περισσότερες από 50 διευθύνσεις IP που στοχεύουν το 23% των προστατευμένων καταστημάτων.
Οι εισβολείς αναπτύσσουν αρχεία πολυγλωσσίας, τα οποία είναι έγκυρες εικόνες GIF ή PNG που περιέχουν κρυφά εκτελέσιμο κώδικα PHP.
Οι εισβολείς χρησιμοποιούν κυρίως δύο τύπους κακόβουλων ωφέλιμων φορτίων για να παραβιάσουν διακομιστές.
Το πρώτο είναι ένα κέλυφος ιστού επαληθευμένο με cookie που βασίζεται στην επαλήθευση κατακερματισμού MD5 μέσω ενός cookie με το όνομα d, χρησιμοποιώντας συχνά ονόματα αρχείων όπως index.php, bypass.php, and c.php.
Η δεύτερη παραλλαγή είναι ένα κέλυφος RCE που προστατεύεται με κωδικό πρόσβασης που χρησιμοποιεί διπλή επαλήθευση κατακερματισμού MD5 και μεταβιβάζει εντολές απευθείας στο σύστημα, που συνήθως απορρίπτονται ως αρχεία όπως π.χ. rce.php or mikhail.html.
Οι ηθοποιοί απειλών χρησιμοποιούν μερικές φορές συσκότιση Unicode σε αυτά τα ονόματα αρχείων για να κρύψουν τα ίχνη τους από βασικούς σαρωτές ασφαλείας.
Επηρεαζόμενες εκδόσεις και στρατηγικές μετριασμού
Ο ευάλωτος κώδικας υπάρχει από την πρώτη κυκλοφορία του Magento 2. Ενώ η Adobe επιδιορθώνει το ζήτημα στον κλάδο προέκδοσης 2.4.9-alpha3 ως μέρος του APSB25-94, τα τρέχοντα καταστήματα παραγωγής παραμένουν σε μεγάλο βαθμό εκτεθειμένα.
Η σοβαρότητα της ευπάθειας εξαρτάται από τη συγκεκριμένη έκδοση λογισμικού και τη ρύθμιση διακομιστή. Το ελάττωμα απεριόριστης μεταφόρτωσης αρχείων επηρεάζει όλες τις εκδόσεις του Magento Open Source και του Adobe Commerce έως και 2.4.9-alpha2.
Επιπλέον, η αποθηκευμένη δέσμη ενεργειών μεταξύ τοποθεσιών (XSS) επηρεάζει όλες τις εκδόσεις πριν από την 2.3.5, καθώς και περιβάλλοντα με προσαρμοσμένες διαμορφώσεις διακομιστή.
Οι κίνδυνοι απομακρυσμένης εκτέλεσης κώδικα διαφέρουν ανάλογα με τον διακομιστή ιστού, επηρεάζοντας συγκεκριμένα τις προεπιλεγμένες διαμορφώσεις Nginx (π.χ. εκδόσεις 2.0.0 έως 2.2.x) και τους διακομιστές Apache που δεν διαθέτουν συγκεκριμένους περιορισμούς PHP.
Η ομάδα ιατροδικαστών Sansec συμβουλεύει τους διαχειριστές να λάβει άμεσα αμυντικά μέτρα μέχρι να κυκλοφορήσει ένα επίσημο patch παραγωγής.
Οι οργανισμοί θα πρέπει να αναπτύξουν ένα Τείχος προστασίας εφαρμογών Ιστού (WAF) για να μπλοκάρουν τις προσπάθειες εκμετάλλευσης σε πραγματικό χρόνο. Επιπλέον, οι διαχειριστές πρέπει να περιορίσουν την πρόσβαση του διακομιστή web στο pub/media/custom_options/ τηλεφωνικός κατάλογος.
Για το Nginx, αυτό απαιτεί ένα μπλοκ τοποθεσίας με άρνηση όλων που δεν παρακάμπτονται από αντιστοιχίσεις PHP regex, ενώ οι διακομιστές Apache απαιτούν αυστηρές .htaccess κανόνες. Συνιστάται στις ομάδες ασφαλείας να σαρώνουν ενεργά τα περιβάλλοντά τους για κρυφά κελύφη ιστού για τον εντοπισμό παραβιάσεων.
