Une vulnérabilité récemment révélée, surnommée PolyShell, touche toutes les installations stables de Magento Open Source et Adobe Commerce version 2. Elle permet l’exécution de code non authentifié et la prise de contrôle des comptes.
Bien qu’aucune exploitation active n’ait été observée jusqu’à présent, la société de sécurité eCommerce Sansec alerte sur la circulation de la méthode d’exploitation, anticipant le début d’attaques automatisées.
Adobe a publié un correctif, mais celui-ci n’est disponible que dans la deuxième version alpha de la 2.4.9, laissant les versions de production vulnérables. Selon Sansec, Adobe propose une « configuration d’exemple de serveur web » qui pourrait limiter considérablement les impacts, mais de nombreux stores dépendent d’une configuration fournie par leur hébergeur.
Dans un rapport dévoilé cette semaine, Sansec souligne que le problème de sécurité découle de l’API REST de Magento, qui accepte les téléchargements de fichiers comme options personnalisées pour les articles du panier.
Lorsque l’option produit est de type ‘fichier’, Magento traite un objet file_info intégré contenant des données de fichier encodées en base64, un type MIME et un nom de fichier. Le fichier est enregistré dans pub/media/custom_options/quote/ sur le serveur, expliquent les chercheurs.
Le terme PolyShell provient de l’utilisation d’un fichier polyglotte, pouvant agir à la fois comme une image et un script. Selon la configuration du serveur web, cette vulnérabilité peut permettre l’exécution de code à distance (RCE) ou la prise de contrôle des comptes via des XSS persistants, affectant la plupart des stores analysés par Sansec.
“Sansec a examiné tous les stores connus de Magento et Adobe Commerce et a constaté que de nombreux stores exposent des fichiers dans le répertoire de téléchargement.”
En attendant la mise à jour des versions de production par Adobe, les administrateurs de boutiques sont conseillés de prendre les mesures suivantes :
- Restreindre l’accès à pub/media/custom_options/
- Vérifier que les règles nginx ou Apache empêchent effectivement l’accès à ce répertoire
- Scanner les stores pour détecter des shells, portes dérobées ou autres malwares téléchargés
BleepingComputer a contacté Adobe pour s’informer sur la disponibilité d’une mise à jour de sécurité pour PolyShell, mais n’a pas reçu de réponse au moment de la publication.