Исследователи Sansec сообщают, что недавно обнаруженная уязвимость, получившая название PolyShell, затрагивает все установленные версии Magento Open Source и Adobe Commerce stable version 2, позволяя выполнять несанкционированный код и захватывать учетные записи. Признаков активного использования уязвимости в реальных условиях пока нет, однако Sansec предупреждает, что метод эксплуатации уже распространяется и ожидает скорого начала автоматизированных атак. В свою очередь, Adobe выпустила исправление, но оно доступно только во второй альфа-версии 2.4.9, что делает уязвимыми рабочие версии. Sansec полагают, что Adobe предлагает «пример конфигурации веб-сервера, который в значительной степени ограничит последствия», но большинство магазинов используют настройку от своего хостинг-провайдера. Согласно отчету исследователей, проблема безопасности заключается в том, что REST API Magento принимает загрузку файлов в качестве части пользовательских опций для товара в корзине. Когда у опции товара указан тип file, Magento обрабатывает встроенный объект file_info, содержащий закодированные в base64 данные файла, MIME-тип и имя файла. Файл записывается в папку pub/media/custom_options/quote/ на сервере. В связи с чем, Sansec отметили, что название PolyShell происходит от использования полиглотного файла, который может выступать одновременно и в качестве изображения, и в качестве скрипта. В зависимости от конфигурации веб-сервера, уязвимость может привести к RCE или захвату учетной записи посредством XSS-атаки, что затронет большинство проанализированных исследователями хранилищ. Sansec провела расследование во всех известных магазинах, использующих платформы Magento и Adobe Commerce, обнаружив, что во многих из них файлы находятся в каталоге для загрузки. До тех пор, пока Adobe не выпустит исправление для рабочих версий, администраторам рекомендуется: - ограничить доступ к pub/media/custom_options/; - убедиться, что правила nginx или Apache действительно блокируют доступ к этому ресурсу; - просканировать магазины приложений на наличие загруженных шелл, бэкдоров или другого вредоносного ПО.