En ny sårbarhet kalt «PolyShell» rammer Magento Open Source og Adobe Commerce, og kan i verste fall gi uautentisert kjøring av kode på nettbutikker. Feilen er knyttet til håndtering av filopplasting via REST-API i tilpassede produktvalg, der en angriper kan få lagret en polyglot-fil som både kan fremstå som bilde og fungere som script.
BleepingComputer omtaler funnet som en kritisk svakhet med risiko for både kontoovertakelse og fjernkjøring av kode, avhengig av webserver-oppsett. Sikkerhetsselskapet Sansec, som publiserte den tekniske analysen, sier de ikke har observert aktiv utnyttelse ennå, men at metodebeskrivelsen allerede sirkulerer og at automatiserte angrep er sannsynlige på kort sikt.
Hvorfor produksjonsmiljøer er utsatt
Kjernen i problemet er at Magento sin REST-flyt for «file»-baserte produktopsjoner kan skrive opplastet innhold til `pub/media/custom_options/quote/`. Dersom webserver-konfigurasjonen ikke blokkerer tilgang og eksekvering strengt nok, kan en ondsinnet fil bli en inngangsport til kompromittering.
Sansec peker på at:
- sårbar kode har eksistert lenge i Magento 2-linjen
- patch foreløpig er tilgjengelig i pre-release-gren (2.4.9-alpha3+)
- mange butikker bruker hostingoppsett som avviker fra anbefalt «sample» webserver-konfig
- opplastede filer kan bli liggende på disk selv om direkte eksekvering er blokkert
Det siste er viktig: en butikk kan fremstå «trygg» i dag, men bli sårbar senere ved migrering, konfigendring eller serverbytte.
Midlertidige tiltak før full patch
Siden produksjonsklar, isolert patch ikke er bredt tilgjengelig ennå, er mitigering avgjørende. Basert på råd fra Sansec og omtalen hos BleepingComputer bør driftsteam prioritere:
- blokkering av tilgang til `pub/media/custom_options/`
- verifisering av at Nginx/Apache-regler faktisk håndheves i praksis
- skanning etter webshells/backdoors i opplastingsområder
- overvåking for uvanlige opplastingsmønstre via API-endepunkter
For virksomheter med høy omsetning i Magento/Adobe Commerce betyr dette at patch-vindu og konfigurasjonshygiene må behandles som hendelseshåndtering, ikke som vanlig vedlikehold.
Hvorfor saken har høy nyhetsverdi
Dette er en sak med klar operativ konsekvens: stor installert base, lav friksjon for angriper (uautentisert vektor), og risiko som i stor grad avgjøres av miljødetaljer mange team ikke har full oversikt over. I tillegg viser den et kjent mønster i e‑handel: kombinasjonen av plugin-/konfigurasjonskompleksitet og høy kommersiell verdi gjør plattformene attraktive mål.
For norske og europeiske nettbutikker som bygger på Magento/Adobe Commerce er budskapet enkelt: vent ikke på «perfekt» patch-scenario. Stram inn tilgang nå, valider at kontroller faktisk virker, og kjør aktiv kompromissjakt i opplastingsstier.