Die Schwachstelle, der Sansec den Namen PolyShell gab, nutzt einen raffinierten Trick: Angreifer maskieren bösartigen Code als Bilddatei und missbrauchen die REST-API von Magento. Das Besondere an diesem Angriffsvektor ist, dass Magento’s REST-API Datei-Uploads als Teil der benutzerdefinierten Optionen für Warenkörbe akzeptiert. Konkret: Wenn eine Produktoption den Typ “file” hat, verarbeitet Magento ein eingebettetes file_info-Objekt, das Base64-kodierte Daten, einen MIME-Typ und einen Dateinamen enthält. Die Datei wird dann direkt ins Verzeichnis pub/media/custom_options/quote/ auf dem Server geschrieben.
Je nach Web-Server-Konfiguration können Angreifer über PHP-Uploads Remote-Code-Ausführung oder über XSS-Attacken sogar Account-Übernahmen erreichen. Das Problem: Die meisten Magento-Installationen verwenden kundenspezifische Konfigurationen ihrer Hosting-Provider statt der von Adobe empfohlenen Sicherheitskonfiguration.
Massive Angriffskampagne zeigt reale Bedrohung
Parallel zur Veröffentlichung der PolyShell-Warnung dokumentierte Netcraft-Sicherheitsforscherin Gina Chow eine laufende Angriffskampagne auf Magento-Shops. Seit dem 27. Februar 2026 haben Angreifer Defacement-Dateien auf etwa 15.000 Hostnames verteilt, die sich auf 7.500 Domains erstrecken. Betroffene Unternehmen sind globale Größen wie Asus, FedEx, Fiat, Lindt, Toyota und Yamaha sowie Regierungsservices.
Es ist derzeit unklar, ob die Kampagne PolyShell ausnutzt oder auf Fehlkonfigurationen abzielt. Sansec rät Betreibern zur sofortigen Vorsorge: Web Application Firewalls (WAF) einsetzen, REST-API einschränken und das Systemprotokoll analysieren.
Handlungsdruck für deutsche Shops
Für deutsche E-Commerce-Unternehmen mit Magento-Installation ist die Situation ernst: Ein isolierter Patch für aktuelle Produktionsversionen fehlt. Die Empfehlung von Sansec ist klar – spezialisierte WAF-Lösungen sind notwendig, da einfaches Blockieren von Zugriff nicht vor Uploads schützt. Upgrade auf 2.4.9 oder höher sollte prioritiert werden, sobald verfügbar.