Un fallo crítico en la API REST permite a atacantes sin autenticación subir código malicioso disfrazado de imágenes para tomar el control total de los servidores.
El ecosistema del comercio electrónico enfrenta una amenaza de seguridad masiva. Este 20 de marzo de 2026, se informa sobre una vulnerabilidad crítica, la cual afecta a todas las versiones de Magento Open Source y Adobe Commerce hasta la versión 2.4.9-alpha2.
La Mecánica de PolyShell
El fallo, bautizado como PolyShell, se origina en la forma en que la API REST de Magento procesa las subidas de archivos. El ataque se basa en disfrazar código malicioso ejecutable como si fuera un archivo de imagen inofensivo.
- Cuando una opción de producto en el carrito de compras es de tipo “archivo”, Magento procesa un objeto file_info incrustado que contiene datos en Base64, el tipo MIME y el nombre del archivo.
- Este archivo se escribe y guarda automáticamente en el directorio del servidor pub/media/custom_options/quote/.
- Dependiendo de la configuración del servidor web, esta carga de archivos sin restricciones puede derivar en la Ejecución Remota de Código (RCE) mediante la carga de un archivo PHP, o en el secuestro de cuentas a través de un ataque de Cross-Site Scripting (XSS) almacenado.
Estado del Parche y Campaña de Hackeo Activa
Adobe solucionó este problema en la rama de pre-lanzamiento 2.4.9, pero dejó a las versiones de producción actuales sin un parche aislado, lo que expone a la gran mayoría de las tiendas que utilizan configuraciones personalizadas de sus proveedores de alojamiento en lugar de la configuración segura de muestra proporcionada por Adobe.
Este descubrimiento coincide de manera alarmante con una advertencia paralela emitida por Netcraft, quienes han detectado una campaña masiva de compromisos y modificaciones no autorizadas (defacement) que comenzó el 27 de febrero de 2026. Los atacantes han desplegado archivos de texto en aproximadamente 15.000 nombres de host (abarcando 7.500 dominios), afectando la infraestructura de marcas reconocidas a nivel mundial como Asus, FedEx, Fiat, Lindt, Toyota y Yamaha. Aunque aún no está claro si esta campaña masiva es obra de un solo actor y si está utilizando específicamente la vulnerabilidad PolyShell u otra mala configuración, los actores de amenazas están subiendo archivos de texto plano a directorios web de acceso público con éxito.
Pasos de Mitigación
Dado que el problema base sigue latente en las versiones de producción sin parches directos, Sansec recomienda las siguientes acciones inmediatas a los administradores de tiendas online:
- Restringir inmediatamente el acceso al directorio de carga de opciones personalizadas (pub/media/custom_options/).
- Verificar que las reglas del servidor Nginx o Apache impidan activamente el acceso a este directorio.
- Utilizar un Firewall de Aplicaciones Web (WAF) especializado, ya que bloquear el acceso de lectura no impide que los atacantes logren subir el código malicioso en primer lugar.
- Escanear las tiendas en busca de web shells, puertas traseras y otros tipos de malware.
