Los ataques que aprovechan la vulnerabilidad 'PolyShell' en la versión 2 de las instalaciones de **Magento Open Source** y **Adobe Commerce** están en curso, apuntando a más de la mitad de todas las tiendas vulnerables. Según la empresa de seguridad de eCommerce **Sansec**, los hackers comenzaron a explotar el problema crítico de PolyShell masivamente la semana pasada, solo dos días después de su divulgación pública. "La explotación masiva de PolyShell comenzó el 19 de marzo, y **Sansec** ha encontrado ataques PolyShell en el 56.7% de todas las tiendas vulnerables", afirma **Sansec**. Los investigadores informaron previamente que el problema reside en la REST API de Magento, que acepta cargas de archivos como parte de las opciones personalizadas para el artículo del carrito, permitiendo que los archivos políglotas logren la ejecución remota de código o la toma de control de cuentas a través de cross-site scripting (XSS) almacenado, si la configuración del servidor web lo permite. **Adobe** lanzó una corrección en la versión 2.4.9-beta1 el 10 de marzo de 2026, pero aún no ha llegado a la rama estable. BleepingComputer contactó previamente a **Adobe** para preguntar cuándo estará disponible una actualización de seguridad que aborde PolyShell para las versiones de producción, pero no hemos recibido respuesta. Mientras tanto, **Sansec** ha publicado una lista de direcciones IP que escanean en busca de tiendas web vulnerables a PolyShell. ### Skimmer WebRTC **Sansec** informa que en algunos de los ataques que se sospecha explotan PolyShell, el actor de amenazas entrega un novedoso skimmer de tarjetas de pago que utiliza Web Real-Time Communication (WebRTC) para exfiltrar datos. WebRTC utiliza DTLS-encrypted UDP en lugar de HTTP, por lo que es más probable que evada los controles de seguridad incluso en sitios con controles estrictos de Content Security Policy (CSP) como "connect-src". El skimmer es un cargador ligero de JavaScript que se conecta a un servidor de comando y control (C2) codificado directamente a través de WebRTC, eludiendo la señalización normal al incrustar un intercambio SDP forjado. Recibe un payload de segunda etapa a través del canal cifrado, luego lo ejecuta eludiendo CSP, principalmente reutilizando un nonce de script existente, o recurriendo a unsafe-eval o inyección directa de scripts. La ejecución se retrasa utilizando ‘requestIdleCallback’ para reducir la detección. **Sansec** señaló que este skimmer fue detectado en el sitio web de comercio electrónico de un fabricante de automóviles valorado en más de $100 mil millones, que no respondió a sus notificaciones. Los investigadores proporcionan un conjunto de indicadores de compromiso que pueden ayudar a los defensores a protegerse contra estos ataques. <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Red Report 2026: Por qué el Cifrado de Ransomware Cayó un 38%</a></h2> <p>El malware se está volviendo más inteligente. El Red Report 2026 revela cómo las nuevas amenazas usan matemáticas para detectar sandboxes y ocultarse a plena vista.</p> <p>Descargue nuestro análisis de 1.1 millones de muestras maliciosas para descubrir las 10 principales técnicas y ver si su pila de seguridad está ciega.</p> </div> </div>