Nach der technischen Analyse von Sansec entsteht die Schwachstelle dadurch, dass die REST-API von Magento Datei-Uploads im Rahmen der individuellen Optionen für einen Warenkorbartikel entgegennimmt. “Wenn eine Produktoption den Typ ‘file’ hat, verarbeitet Magento ein eingebettetes file_info-Objekt, das base64-codierte Dateidaten, einen MIME-Typ und einen Dateinamen enthält”, erklärte die Firma. Die Datei werde anschließend in das Verzeichnis pub/media/custom_options/quote/ auf dem Server geschrieben.
Welche Folgen sich daraus ergeben, hängt von der Konfiguration des Webservers ab: Möglich sind sowohl Remote Code Execution über einen PHP-Upload als auch eine Kontoübernahme über gespeichertes XSS. Den Namen PolyShell wählte Sansec, weil der Angriff darauf setzt, Schadcode als Bild zu tarnen.
Adobe behob das Problem laut Sansec im Vorab-Zweig 2.4.9 als Teil von APSB25-94, stellte für aktuelle Produktivversionen jedoch keinen isolierten Patch bereit. “Adobe stellt zwar eine Beispielkonfiguration für den Webserver bereit, die die Auswirkungen weitgehend eindämmen würde, doch die Mehrzahl der Shops nutzt eine angepasste Konfiguration ihres Hosting-Anbieters”, merkte die Firma an. Betreibern empfiehlt Sansec mehrere Gegenmaßnahmen, weist aber darauf hin, dass das bloße Sperren des Zugriffs die Uploads nicht verhindert: “Das Blockieren des Zugriffs blockiert keine Uploads, sodass Angreifer weiterhin Schadcode hochladen können, wenn Sie keine spezialisierte WAF [Web Application Firewall] einsetzen.”
Parallel dazu meldet Netcraft eine laufende Kampagne, bei der Tausende von Magento-Shops über mehrere Branchen und Regionen hinweg kompromittiert und verunstaltet werden. Die Aktivität begann laut Netcraft am 27. Februar 2026; dabei lädt der Angreifer Klartextdateien in öffentlich zugängliche Web-Verzeichnisse hoch.
“Angreifer haben Defacement-txt-Dateien über rund 15.000 Hostnamen verteilt, die sich auf 7.500 Domains erstrecken, darunter Infrastruktur namhafter globaler Marken, E-Commerce-Plattformen und staatlicher Dienste”, sagte die Sicherheitsforscherin Gina Chow. Betroffen sind den Angaben zufolge unter anderem Asus, FedEx, Fiat, Lindt, Toyota und Yamaha.
Ob die Angriffe eine bestimmte Magento-Schwachstelle oder Fehlkonfiguration ausnutzen und ob ein einzelner Akteur dahintersteht, ist Netcraft zufolge bislang unklar. The Hacker News hat bei Netcraft nachgefragt, ob ein Zusammenhang zu PolyShell besteht.
