Над половината уязвими онлайн магазини вече са засегнати

Критична уязвимост, известна като PolyShell, се експлоатира активно срещу платформи Magento Open Source и Adobe Commerce, като атаките обхващат над 56% от всички уязвими онлайн магазини.

Според изследване на Sansec, масовата експлоатация е започнала само два дни след публичното разкриване на проблема, което подчертава колко бързо атакуващите реагират на нови уязвимости.

Как работи уязвимостта PolyShell

Уязвимостта се намира в REST API на Magento, който позволява качване на файлове чрез custom опции в количката. Чрез използване на така наречените polyglot файлове, атакуващите могат да постигнат:

• изпълнение на отдалечен код (RCE)
• превземане на акаунти
• persistent XSS атаки

Това зависи от конфигурацията на уеб сървъра, но при уязвими среди последствията могат да бъдат критични.

Въпреки че Adobe публикува корекция във версия 2.4.9-beta1 на 10 март 2026 г., тя все още не е налична в стабилните версии, което оставя много продукционни среди изложени на риск.

Нов тип WebRTC skimmer усложнява защитата

В част от атаките, свързани с PolyShell, е засечен нов тип платежен skimmer, който използва Web Real-Time Communication (WebRTC) за ексфилтрация на данни.

Този подход е особено ефективен, тъй като WebRTC използва DTLS-криптиран UDP трафик, който често не се филтрира от стандартни защитни механизми и политики като Content Security Policy (CSP).

Зловредният код представлява лек JavaScript loader, който установява връзка към C2 сървър чрез WebRTC, използвайки подправен SDP обмен. След това се зарежда вторичен payload, който се изпълнява, заобикаляйки защитите чрез повторно използване на валиден script nonce или чрез техники като unsafe-eval.

За да избегне откриване, изпълнението се отлага чрез функции като requestIdleCallback, което намалява вероятността за засичане от защитни системи.

Реални жертви и индустриален риск

Sansec съобщава, че подобен skimmer е открит в сайт на автомобилен производител с пазарна оценка над 100 милиарда долара, което показва, че атаките не са ограничени до малки онлайн магазини, а засягат и големи корпоративни структури.

Случаят с PolyShell показва класически сценарий на бърза експлоатация на публично разкрита уязвимост в широко използвана платформа. Липсата на стабилен пач към момента допълнително увеличава риска, а комбинирането с нови техники като WebRTC-базиран skimmer прави атаките още по-трудни за откриване.

Организациите, използващи Magento Open Source и Adobe Commerce, трябва да предприемат спешни мерки за защита, включително мониторинг за индикатори на компрометиране и ограничаване на функционалности, свързани с качване на файлове, до наличието на официален стабилен ъпдейт.