Angriffe, die die 'PolyShell'-Schwachstelle in Version 2 von **Magento Open Source** und **Adobe Commerce** Installationen ausnutzen, sind im Gange und zielen auf mehr als die Hälfte aller anfälligen Shops ab. Laut dem E-Commerce-Sicherheitsunternehmen **Sansec** begannen Hacker letzte Woche massiv mit der Ausnutzung des kritischen PolyShell-Problems, nur zwei Tage nach der öffentlichen Offenlegung. "Die Massenausnutzung von PolyShell begann am 19. März, und **Sansec** hat nun PolyShell-Angriffe auf 56,7 % aller anfälligen Stores festgestellt", sagt **Sansec**. Die Forscher berichteten zuvor, dass das Problem in Magentos REST API liegt, die als Teil der benutzerdefinierten Optionen für Cart-Artikel Datei-Uploads akzeptiert. Dies ermöglicht es Polyglot-Dateien, Remote Code Execution oder Account Takeover über gespeicherte Cross-Site Scripting (XSS) zu erreichen, wenn die Webserverkonfiguration dies zulässt. **Adobe** veröffentlichte am 10. März 2026 eine Korrektur in Version 2.4.9-beta1, die jedoch noch nicht die stabile Version erreicht hat. BleepingComputer kontaktierte zuvor **Adobe**, um zu erfahren, wann ein Sicherheitsupdate für PolyShell für Produktionsversionen verfügbar sein wird, erhielt jedoch keine Antwort. In der Zwischenzeit hat **Sansec** eine Liste von IP-Adressen veröffentlicht, die Webshops scannen, die für PolyShell anfällig sind. ### WebRTC Skimmer **Sansec** berichtet, dass bei einigen der Angriffe, bei denen PolyShell vermutet wird, der Bedrohungsakteur einen neuartigen Zahlungskarten-Skimmer einsetzt, der Web Real-Time Communication (WebRTC) zur Exfiltration von Daten nutzt. WebRTC verwendet DTLS-verschlüsseltes UDP anstelle von HTTP, sodass es eher Sicherheitskontrollen umgeht, selbst auf Websites mit strengen Content Security Policy (CSP)-Kontrollen wie "connect-src". Der Skimmer ist ein leichtgewichtiger JavaScript-Loader, der über WebRTC eine hartcodierte Command-and-Control (C2)-Serververbindung herstellt und die normale Signalisierung durch Einbettung eines gefälschten SDP-Austauschs umgeht. Er empfängt eine zweite Stufe des **payload** über den verschlüsselten Kanal und führt diese dann aus, wobei CSP umgangen wird, hauptsächlich durch Wiederverwendung eines vorhandenen Skript-Nonces oder durch Rückgriff auf unsafe-eval oder direkte Skriptinjektion. Die Ausführung wird mit 'requestIdleCallback' verzögert, um die Erkennung zu reduzieren. **Sansec** stellte fest, dass dieser Skimmer auf der E-Commerce-Website eines Autoherstellers im Wert von über 100 Milliarden US-Dollar entdeckt wurde, der auf ihre Benachrichtigungen nicht reagierte. Die Forscher stellen eine Reihe von Indicators of Compromise (IOCs) zur Verfügung, die Verteidigern helfen können, sich vor diesen Angriffen zu schützen. <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Warum die Ransomware-Verschlüsselung um 38 % zurückging</a></h2> <p>Malware wird intelligenter. Der Red Report 2026 enthüllt, wie neue Bedrohungen Mathematik nutzen, um Sandboxes zu erkennen und sich im Verborgenen zu halten.</p> <p>Laden Sie unsere Analyse von 1,1 Millionen bösartigen Samples herunter, um die Top 10 Techniken aufzudecken und zu sehen, ob Ihr Sicherheitsstack blind ist.</p> </div> </div>