Die Schwachstelle steckt nach Darstellung von Sansec in der REST-API von Magento. Da diese Datei-Uploads als Teil der benutzerdefinierten Optionen eines Warenkorb-Artikels entgegennimmt, lassen sich Polyglot-Dateien einschleusen. Je nach Konfiguration des Webservers ermöglicht das die Ausführung von Code aus der Ferne oder eine Kontoübernahme über persistentes Cross-Site-Scripting (XSS).

Adobe veröffentlichte am 10. März 2026 in Version 2.4.9-beta1 einen Fix, der jedoch noch nicht in den stabilen Zweig übernommen wurde. BleepingComputer fragte bei Adobe nach, wann ein Sicherheitsupdate gegen PolyShell für Produktivversionen verfügbar sein wird, erhielt darauf aber keine Antwort. Sansec hat zudem eine Liste von IP-Adressen veröffentlicht, von denen aus nach verwundbaren Shops gesucht wird.

In einigen der mutmaßlichen PolyShell-Angriffe schleust der Angreifer laut Sansec einen neuartigen Kreditkarten-Skimmer ein, der Daten über Web Real-Time Communication (WebRTC) abzieht. Da WebRTC auf DTLS-verschlüsseltem UDP statt auf HTTP setzt, umgeht es Sicherheitskontrollen mit höherer Wahrscheinlichkeit – selbst auf Seiten mit strengen Content-Security-Policy-Vorgaben wie „connect-src".

Der Skimmer ist ein schlanker JavaScript-Loader, der sich über WebRTC mit einem fest hinterlegten Command-and-Control-Server (C2) verbindet. Dabei umgeht er die übliche Signalisierung, indem er einen gefälschten SDP-Austausch einbettet. Über den verschlüsselten Kanal empfängt er eine zweite Stufe der Schadsoftware und führt sie aus, wobei er die Content Security Policy unterläuft – vorrangig durch Wiederverwendung einer vorhandenen Script-Nonce, ersatzweise über „unsafe-eval" oder direkte Script-Injektion. Die Ausführung wird mittels „requestIdleCallback" verzögert, um die Erkennung zu erschweren.

Nach Angaben der Forscher wurde dieser Skimmer auf der E-Commerce-Website eines Automobilherstellers mit einem Marktwert von über 100 Milliarden Dollar entdeckt; das Unternehmen reagierte nicht auf die Hinweise von Sansec. Zur Abwehr der Angriffe stellen die Forscher eine Reihe von Kompromittierungsindikatoren bereit.