Uma vulnerabilidade recentemente divulgada chamada ‘PolyShell’ afeta todas as instalações da versão 2 estável do Magento Open Source e Adobe Commerce, permitindo a execução de código não autenticado e o controle de contas.
Não há sinais de que o problema esteja sendo explorado ativamente, mas a empresa de segurança de comércio eletrônico Sansec alerta que “o método de exploração já está circulando” e espera que ataques automatizados comecem em breve.
A Adobe lançou uma correção, mas ela só está disponível na segunda versão alfa da versão 2.4.9, deixando as versões de produção vulneráveis. Sansec diz que a Adobe oferece um “exemplo de configuração de servidor web que limitaria amplamente as consequências”, mas a maioria das lojas depende de uma configuração de seu provedor de hospedagem.
Em um relatório esta semana, Sansec diz que o problema de segurança está enraizado na API REST do Magento, que aceita uploads de arquivos como parte das opções personalizadas para o item do carrinho.
“Quando uma opção de produto tem o tipo ‘arquivo’, o Magento processa um objeto file_info incorporado contendo dados de arquivo codificados em base64, um tipo MIME e um nome de arquivo. O arquivo é gravado em pub/media/custom_options/quote/ no servidor”, o pesquisadores explicam.
Sansec diz que “PolyShell” recebeu esse nome devido ao uso de um arquivo poliglota que pode se comportar tanto como uma imagem quanto como um script.
Dependendo da configuração do servidor web, a falha pode permitir a execução remota de código (RCE) ou o controle de contas por meio de XSS armazenado, impactando a maioria das lojas analisadas pela Sansec.
“A Sansec investigou todas as lojas Magento e Adobe Commerce conhecidas e descobriu que muitas lojas expõem arquivos no diretório de upload.”
Até que a Adobe libere o patch para versões de produção, recomenda-se que os administradores da loja tomem as seguintes ações:
- Restringir o acesso a pub/media/custom_options/
- Verifique se as regras do nginx ou do Apache realmente impedem o acesso lá
- Verifique as lojas em busca de shells, backdoors ou outros malwares carregados
BleepingComputer entrou em contato com a Adobe para perguntar quando uma atualização de segurança para PolyShell será disponibilizada, mas não recebemos resposta até a publicação.
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos.
Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.