Sansec advierte sobre una falla de seguridad crítica en la API REST de Magento que podría permitir a atacantes no autenticados cargar ejecutables arbitrarios y lograr la ejecución de código y el control de cuentas.
La vulnerabilidad ha sido nombrada en código. PoliShell por Sansec debido a que el ataque consiste en disfrazar el código malicioso como una imagen. No hay evidencia de que la deficiencia haya sido explotada en la naturaleza. La falla en la carga de archivos sin restricciones afecta a todas las versiones de Magento Open Source y Adobe Commerce hasta 2.4.9-alpha2.
La firma de seguridad holandesa dijo que el problema surge del hecho de que la API REST de Magento acepta cargas de archivos como parte de las opciones personalizadas para el artículo del carrito.
«Cuando una opción de producto tiene el tipo ‘archivo’, Magento procesa un objeto file_info incrustado que contiene datos de archivo codificados en base64, un tipo MIME y un nombre de archivo», decía. «El archivo está escrito en pub/media/custom_options/quote/ en el servidor».
Dependiendo de la configuración del servidor web, la falla puede permitir la ejecución remota de código mediante la carga de PHP o la apropiación de cuentas a través de XSS almacenado.
Sansec también señaló que Adobe solucionó el problema en la rama de prelanzamiento 2.4.9 como parte de APSB25-94, pero deja las versiones de producción actuales sin un parche aislado.
«Si bien Adobe proporciona una configuración de servidor web de muestra que limitaría en gran medida las consecuencias, la mayoría de las tiendas utilizan una configuración personalizada de su proveedor de alojamiento», añadió.
Para mitigar cualquier riesgo potencial, se recomienda a las tiendas de comercio electrónico que realicen los siguientes pasos:
- Restrinja el acceso al directorio de carga («pub/media/custom_options/»).
- Verifique que las reglas de nginx o Apache impidan el acceso al directorio.
- Escanee las tiendas en busca de web shells, puertas traseras y otro malware.
«Bloquear el acceso no bloquea las cargas, por lo que las personas aún podrán cargar códigos maliciosos si no se utiliza un WAF (Web Application Firewall) especializado», dijo Sansec.
El desarrollo se produce cuando Netcraft señaló una campaña en curso que involucra el compromiso y la desfiguración de miles de sitios de comercio electrónico Magento en múltiples sectores y geografías. La actividad, que comenzó el 27 de febrero de 2026, implica que el actor de amenazas cargue archivos de texto sin formato en directorios web de acceso público.
«Los atacantes han implementado archivos de texto de destrucción de datos en aproximadamente 15.000 nombres de host que abarcan 7.500 dominios, incluida la infraestructura asociada con marcas globales prominentes, plataformas de comercio electrónico y servicios gubernamentales», dijo la investigadora de seguridad Gina Chow.
Actualmente no está claro si los ataques explotan una vulnerabilidad específica de Magento o una mala configuración, y son obra de un único actor de amenazas. La campaña ha impactado la infraestructura de varias marcas reconocidas a nivel mundial, incluidas Asus, FedEx, Fiat, Lindt, Toyota y Yamaha, entre otras.
Cuando se le contactó para hacer comentarios, el investigador de Netcraft, Harry Everett, dijo a The Hacker News que «No hemos visto explotación relacionada con el directorio custom_options descrito por Sansec, pero hemos observado al menos un caso de un archivo PHP malicioso subido a /media/customer_address, que puede estar relacionado con la explotación de SessionReaper. Continuamos monitoreando».
(La historia se actualizó después de la publicación para incluir una respuesta de Netcraft).