Webshops die draaien op Magento en Adobe Commerce worden op grote schaal aangevallen via een recent ontdekt beveiligingslek. Dit lek maakt het mogelijk voor aanvallers om op afstand code uit te voeren of accounts te kapen, meldt securitybedrijf Sansec.

De kwetsbaarheid zit in de REST API van de webwinkelsoftware en stelt ongeauthenticeerde aanvallers in staat om uitvoerbare bestanden te uploaden naar kwetsbare webshops. Alle versies tot en met 2.4.9-alpha2 zijn getroffen door deze unrestricted file upload-kwetsbaarheid. Daarnaast zijn webshops die gebruikmaken van Apache-webserver voor versie 2.3.5 of met een aangepaste webserverconfiguratie kwetsbaar voor stored cross-site scripting, waardoor accounts kunnen worden overgenomen. Een gecompromitteerd admin-account geeft een aanvaller volledige toegang tot de webshop.

Sansec waarschuwde op 17 maart voor deze kwetsbaarheid, die het 'PolyShell' noemt. Sinds 19 maart wordt er grootschalig misbruik van gemaakt; PolyShell-aanvallen zijn op 56,7 procent van alle kwetsbare webshops aangetroffen. Bij een autofabrikant werd malware aangetroffen die betaalpagina’s infiltreert en klantgegevens steelt, vermoedelijk via een PolyShell-aanval. Vooralsnog is er alleen een beveiligingsupdate beschikbaar voor de pre-release branch van Magento en Adobe Commerce; productieversies moeten het zonder update doen.