Компания Sansec, специализирующаяся на безопасности электронной коммерции, раскрыла критическую уязвимость, получившую название «PolyShell», которая затрагивает все стабильные установки второй версии Magento Open Source и Adobe Commerce. Уязвимость позволяет неаутентифицированным злоумышленникам выполнять произвольный код удалённо (RCE) и потенциально захватывать учётные записи администраторов, создавая серьёзную угрозу для интернет-магазинов по всему миру. Согласно отчёту, проблема коренится в недостатке REST API Magento, который некорректно обрабатывает загрузку файлов, связанных с пользовательскими опциями товара в корзине. В частности, когда опция товара имеет тип «file», система обрабатывает встроенный объект `file_info`, содержащий данные в кодировке base64, MIME-тип и имя файла, записывая файл в предсказуемый каталог на сервере (`pub/media/custom_options/quote/`). Этот механизм, предназначенный для легитимных загрузок клиентов, может быть использован для загрузки вредоносных скриптов.
Название эксплойта «PolyShell» отсылает к использованию полиглот-файла — единого файла, созданного для корректной интерпретации в качестве нескольких типов файлов, например, одновременно изображения и PHP-скрипта. Загрузив такой файл, злоумышленник может обойти обычные проверки типа файла. Критичность воздействия — приведёт ли оно к полному удалённому выполнению кода или к более ограниченной атаке обхода путей — сильно зависит от конкретной конфигурации веб-сервера (например, Apache, Nginx) и настроек безопасности в хостинговой среде. В худшем случае неаутентифицированный злоумышленник может получить оболочку (shell) на сервере, что приведёт к полной компрометации магазина, краже данных клиентов и внедрению вредоносного ПО для скимминга.
Хотя на момент раскрытия информации не подтверждено случаев активной эксплуатации в дикой природе, Sansec предупреждает, что методология эксплуатации уже распространяется среди злоумышленников. Компания ожидает, что автоматизированные массовые атаки на уязвимые магазины Magento начнутся в ближайшее время. Adobe выпустила патч для уязвимости, однако в настоящее время он доступен только во втором альфа-релизе предстоящей версии 2.4.9. Это оставляет все текущие производственные версии Magento 2 и Adobe Commerce уязвимыми и без официального стабильного обновления безопасности. Adobe предоставила пример конфигурации веб-сервера, который может снизить риск, но Sansec отмечает, что большинство владельцев магазинов полагаются на стандартные настройки своих хостинг-провайдеров и могут не внедрить такие пользовательские конфигурации оперативно.
Раскрытие этой уязвимости подчёркивает постоянные проблемы безопасности в сложных платформах электронной коммерции и критическую важность многоуровневой защиты. Администраторам магазинов настоятельно рекомендуется немедленно проверить конфигурации своих серверов, уделив особое внимание ограничению выполнения скриптов в каталогах загрузки и внедрению строгой проверки вводимых данных для конечных точек API. До тех пор, пока официальный патч не будет перенесён в стабильные ветки, необходим мониторинг подозрительных загрузок файлов и рассмотрение применения обходных решений, таких как рекомендации по конфигурации от Adobe. Этот инцидент следует паттерну высокоэффективных уязвимостей в цифровых цепочках поставок, как недавно наблюдалось в атаках на репозитории кода (GlassWorm) и другие платформы, что подчёркивает необходимость постоянного управления уязвимостями и proactive усиления безопасности в экосистеме электронной коммерции.
