SchwachstellenHackerangriffeCloud-Sicherheit

Kritische Magento-Lücke PolyShell: Unauthentifizierte Angreifer können Code ausführen

Kritische Magento-Lücke PolyShell: Unauthentifizierte Angreifer können Code ausführen
Zusammenfassung

Eine kritische Sicherheitslücke in Magentos REST-API gefährdet weltweit Millionen von Online-Shops: Die als PolyShell bekannte Schwachstelle ermöglicht es Angreifern, ohne Authentifizierung beliebige Dateien hochzuladen, Schadcode auszuführen und Benutzerkonten zu übernehmen. Das Sicherheitsunternehmen Sansec hat die Flaw identifiziert, die alle Magento Open Source- und Adobe Commerce-Versionen bis 2.4.9-alpha2 betrifft und durch das Verschleiern von Malware als Bilddatei funktioniert. Die Anfälligkeit liegt in der Verarbeitung von benutzerdefinierten Datei-Optionen im Warenkorb, wo hochgeladene Dateien in ein öffentlich zugängliches Verzeichnis geschrieben werden. Abhängig von der Serverkonfiguration können Angreifer remote Code ausführen oder Accounts durch gespeicherte Cross-Site-Scripting-Angriffe übernehmen. Adobe hat das Problem zwar in der Vorabversion 2.4.9 behoben, doch aktuelle Produktionsversionen erhalten keinen isolierten Patch. Dies ist besonders besorgniserregend, da zeitgleich tausende Magento-Shops weltweit kompromittiert werden – Netcraft dokumentiert eine Angriffskampagne seit Ende Februar 2026 mit Defacements auf etwa 15.000 Domains, darunter bekannte Marken wie Asus, FedEx und Toyota. Für deutsche E-Commerce-Unternehmen und Behörden mit Magento-basierten Shop-Systemen besteht sofortige Handlungsdringlichkeit.

Die Schwachstelle PolyShell nutzt eine grundlegende Designschwäche in Magento’s REST-API aus. Das System akzeptiert Datei-Uploads als Teil der benutzerdefinierten Optionen für Warenkorb-Artikel. Wenn ein Produkt eine Datei-Option bietet, verarbeitet Magento ein eingebettetes Objekt mit Base64-codierten Daten, dem MIME-Type und einem Dateinamen. Die hochgeladene Datei wird im Verzeichnis pub/media/custom_options/quote/ auf dem Server gespeichert.

Je nach Konfiguration des Webservers können Angreifer diese Lücke auf zwei Wegen ausnutzen: Durch das Hochladen einer manipulierten PHP-Datei lässt sich direkter Code ausführen. Alternativ ermöglicht Stored XSS über die hochgeladenen Dateien eine Übernahme von Benutzerkonten. Das Besondere an diesem Angriff ist die Tarnung — Schadcode wird als legitime Bilddatei präsentiert und so leicht an Sicherheitskontrollen vorbeischmuggelt.

Sansec warnt ausdrücklich davor, dass ein einfaches Blockieren des /pub/media/custom_options/-Verzeichnisses nicht ausreichend ist. Uploads können weiterhin stattfinden und böswillig sein. Nur eine spezialisierte Web Application Firewall (WAF) bietet zuverlässigen Schutz. Besonders problematisch ist, dass viele Hosting-Provider individuelle Webserver-Konfigurationen verwenden, die nicht dem von Adobe empfohlenen Standard entsprechen.

Parallel zur Entdeckung dieser Schwachstelle dokumentierte Netcraft eine massive Angriffskampagne. Seit dem 27. Februar 2025 werden etwa 15.000 Magento-Shops defaced — über 7.500 Domains sind betroffen. Unter den kompromittierten Seiten befinden sich Infrastrukturen von globalen Konzernen wie Toyota, Yamaha, Lindt, Fiat und FedEx. Angreifer laden Klartext-Dateien in öffentlich zugängliche Verzeichnisse. Ob diese Attacken die PolyShell-Lücke ausnutzen oder auf andere Misconfigurations abzielen, ist derzeit unklar.

Für deutsche E-Commerce-Betreiber ist Eile geboten. Adobe stellte zwar einen Patch in Variante 2.4.9 bereit, doch dieser ist noch nicht im stabilen Release verfügbar. Betreiber sollten sofort ihre Magento-Version überprüfen und eine WAF implementieren. Zusätzlich sollten Datei-Upload-Funktionen in den Produktoptionen überprüft und ggf. deaktiviert werden, falls sie nicht essentiell sind.

Ähnliche Artikel