КРИТИЧЕСКАЯ УЯЗВИМОСТЬ MAGENTO: НЕАВТОРИЗОВАННАЯ ЗАГРУЗКА ВРЕДОНОСНОГО ПО УГРОЖАЕТ ТЫСЯЧАМ МАГАЗИНОВ
Голландская фирма Sansec бьет тревогу: в REST API Magento и Adobe Commerce обнаружена опаснейшая 0-day уязвимость, позволяющая злоумышленникам без каких-либо прав доступа загружать и исполнять произвольный код. Уязвимость, названная PolyShell, затрагивает все версии платформы вплоть до 2.4.9-alpha2 и открывает путь к полному захвату аккаунтов и систем.
Атака основана на хитрой маскировке: вредоносное ПО маскируется под безобидное изображение через base64-кодирование. Система, получая такой файл через API корзины, сохраняет его на сервер, где в зависимости от конфигурации он может быть исполнен. Это классический пример эксплуатации уязвимости через неограниченную загрузку файлов, ведущую к удаленному выполнению кода (RCE).
«Блокировка доступа к файлу не останавливает его загрузку. Без специализированного WAF магазины остаются беззащитными», — предупреждает неназванный эксперт по кибербезопасности из Sansec. Хотя Adobe выпустила исправление в тестовой ветке, текущие рабочие версии остаются без изолированного патча, что создает окно для массовых атак.
Почему это касается каждого? Потому что параллельно компания Netcraft зафиксировала масштабную кампанию по взлому и дефейсингу тысяч сайтов на Magento по всему миру. Уже пострадало около 15 000 хостов, включая ресурсы глобальных брендов и государственные сервисы. Хотя связь с PolyShell пока не подтверждена, совпадение по времени и вектору атаки более чем тревожное.
Ожидайте волну целенаправленных ransomware-атак и масштабных утечек данных с коммерческих площадок. Фишинг-рассылки, эксплойты и шантаж владельцев бизнеса станут новой нормой, если проблема не будет устранена в ближайшие дни.
Когда дыра в REST API угрожает всей экосистеме электронной коммерции, вопрос не в том, взломают ли ваш магазин, а в том, когда это произойдет.
