ハッカーは「PolyShell」と呼ばれるMagentoおよびAdobe Commerceの重大な脆弱性を積極的に悪用し、数千のオンラインストア全体で遠隔コード実行(RCE)とアカウント完全侵害を実現しています。
Sansec Forensicsチームによって発見され、2026年3月17日に公開されたこの欠陥は、MagentoのREST APIに影響を与えます。
認証されていない攻撃者が有効な認証情報を必要とせずに、悪意のあるファイルを直接サーバーにアップロードすることができます。
現在の本番バージョンで公式パッチが利用可能でないため、世界中の電子商取引プラットフォームのリスクは高いままです。
この脆弱性はMagentoの匿名ゲストカート機能に存在します。ユーザーがカートにアイテムを追加するとき、システムはカスタムファイルオプションを受け入れます。
これらのファイルはbase64エンコードされたデータ、MIMEタイプ、ファイル名とともに処理されます。
ただし、アプリケーションはこれらの入力を適切に検証できません。ファイルアップロードが必要かどうかを確認せず、オプションIDチェックを無視し、ファイル拡張子の制限がありません。
その結果、攻撃者は無害な画像ファイルに偽装した悪意のあるスクリプトをアップロードできます。
脅威アクターはセキュリティフィルターを回避するために、GIFまたはPNG画像内に隠された悪意のあるコードを含むポリグロットファイルを使用しています。
一般的なテクニックには、GIF89aヘッダー内にPHPコードを埋め込み、ファイルがアップロード後にサーバー上で実行できるようにすることが含まれます。
この脆弱性は複数のMagentoおよびAdobe Commerceバージョンに影響を与えます:
この問題はリリースされていない2.4.9-alpha3ブランチでのみパッチされており、ほとんどの本番システムが露出されたままになっています。
セキュリティチームは疑わしいファイルと活動を監視する必要があります。以下を含みます:
これらのウェブシェルは攻撃者が任意のコマンドを実行し、追加のマルウェアをアップロードし、永続的なアクセスを維持することを可能にすることが多いです。
公式パッチがリリースされるまで、組織は即座に防御措置を講じる必要があります。Web Application Firewall (WAF)を配置して、リアルタイムで悪用試行をブロックすることを強く推奨しています。
管理者はまた、悪意のあるファイルが通常保存されている pub/media/custom_options/ ディレクトリへのアクセスを制限する必要があります。Nginxユーザーは厳密な拒否ルールを強制する必要があり、Apacheユーザーは.htaccess保護が正しく設定されていることを確認する必要があります。
最後に、定期的なファイルシステムスキャンは重要です。初期実行が失敗した場合でも、悪意のあるアップロードは潜伏したままで、後で起動することができます。
翻訳元: https://cyberpress.org/hackers-exploit-magento-flaw/