Des attaques exploitant la vulnérabilité PolyShell dans la version 2 de Magento Open Source et des installations Adobe Commerce ont été identifiées, visant plus de la moitié des stores vulnérables. Selon la société de sécurité e-commerce Sansec, les hackers ont commencé à tirer parti de ce problème critique en masse la semaine dernière, seulement deux jours après sa divulgation publique.
Sansec a annoncé : « L’exploitation massive de PolyShell a débuté le 19 mars, et nous avons trouvé des attaques liées à PolyShell sur 56,7 % de tous les stores vulnérables. » L’analyse a précédemment souligné que la faille réside dans l’API REST de Magento, qui permet le téléchargement de fichiers dans le cadre des options personnalisées pour les articles du panier, ouvrant ainsi la voie à l’exécution de code à distance ou à la prise de contrôle de compte via un cross-site scripting (XSS) stocké, si la configuration du serveur web le permet.
Adobe a publié un correctif dans la version 2.4.9-beta1 le 10 mars 2026, mais celui-ci n’est pas encore disponible dans la branche stable. Des demandes précédentes auprès d’Adobe concernant la disponibilité d’une mise à jour de sécurité pour aborder la vulnérabilité PolyShell sont restées sans réponse.
Parallèlement, Sansec a mis à disposition une liste d’adresses IP ciblant les stores web vulnérables à PolyShell.
Skimmer WebRTC
Sansec a également signalé que certaines des attaques suspectées d’exploiter PolyShell intègrent un nouveau skimmer de cartes de paiement utilisant WebRTC pour exfiltrer des données. Ce protocole, qui utilise un UDP chiffré en DTLS, a plus de chances d’échapper aux contrôles de sécurité, même sur des sites avec des politiques strictes de Content Security Policy (CSP) telles que « connect-src ».
Le skimmer est un chargeur JavaScript léger qui établit une connexion avec un serveur de commande et de contrôle (C2) via WebRTC, contournant les signalisations normales par l’insertion d’un échange de description de session (SDP) falsifié. Il reçoit ensuite une charge utile de second niveau sur le canal chiffré, puis l’exécute tout en contournant les CSP, principalement en réutilisant un nonce de script existant ou en retombant sur des méthodes moins sûres comme unsafe-eval ou l’injection directe de scripts. L’exécution est retardée à l’aide de requestIdleCallback pour minimiser les risques de détection.
Sansec a noté que ce skimmer a été détecté sur le site e-commerce d’un constructeur automobile valorisé à plus de 100 milliards de dollars, qui n’a pas réagi à leurs notifications. Les chercheurs fournissent également un ensemble d’indicateurs de compromission pour aider les défenses à se protéger contre ces attaques.