Des attaques exploitant la vulnérabilité 'PolyShell' dans la version 2 des installations **Magento Open Source** et **Adobe Commerce** sont en cours, ciblant plus de la moitié de tous les magasins vulnérables. Selon la société de sécurité eCommerce **Sansec**, les pirates ont commencé à exploiter massivement la faille critique PolyShell la semaine dernière, deux jours seulement après sa divulgation publique. « L'exploitation massive de PolyShell a débuté le 19 mars, et **Sansec** a maintenant trouvé des attaques PolyShell sur 56,7 % de tous les magasins vulnérables », indique **Sansec**. Les chercheurs ont précédemment signalé que le problème réside dans l'API REST de Magento, qui accepte les téléversements de fichiers dans le cadre des options personnalisées pour l'article du panier, permettant aux fichiers polyglottes d'atteindre l'exécution de code à distance ou la prise de contrôle de compte via un cross-site scripting (XSS) stocké, si la configuration du serveur web le permet. **Adobe** a publié un correctif dans la version 2.4.9-beta1 le 10 mars 2026, mais il n'a pas encore atteint la branche stable. BleepingComputer a précédemment contacté **Adobe** pour demander quand une mise à jour de sécurité abordant PolyShell sera disponible pour les versions de production, mais nous n'avons pas reçu de réponse. Entre-temps, **Sansec** a publié une liste d'adresses IP qui scannent les boutiques en ligne vulnérables à PolyShell. ### Skimmer WebRTC **Sansec** rapporte que dans certaines des attaques suspectées d'exploiter PolyShell, l'acteur de la menace livre un nouveau skimmer de carte de paiement qui utilise Web Real-Time Communication (WebRTC) pour exfiltrer des données. WebRTC utilise le UDP chiffré DTLS plutôt que HTTP, il est donc plus susceptible d'échapper aux contrôles de sécurité, même sur les sites avec des contrôles stricts de Content Security Policy (CSP) comme "connect-src". Le skimmer est un chargeur JavaScript léger qui se connecte à un serveur de commande et contrôle (C2) codé en dur via WebRTC, contournant la signalisation normale en intégrant un échange SDP forgé. Il reçoit une charge utile de second niveau sur le canal chiffré, puis l'exécute tout en contournant la CSP, principalement en réutilisant un nonce de script existant, ou en se rabattant sur unsafe-eval ou une injection de script directe. L'exécution est retardée à l'aide de 'requestIdleCallback' pour réduire la détection. **Sansec** a noté que ce skimmer a été détecté sur le site web e-commerce d'un constructeur automobile évalué à plus de 100 milliards de dollars, qui n'a pas répondu à leurs notifications. Les chercheurs fournissent un ensemble d'indicateurs de compromission qui peuvent aider les défenseurs à se protéger contre ces attaques. <div> <a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0"><img alt="tines" src="https://www.bleepstatic.com/c/p/red-report.jpg"></a> <div> <h2><a rel="noopener sponsored" href="https://hubs.li/Q043YRMg0">Rapport Rouge 2026 : Pourquoi le chiffrement des ransomwares a chuté de 38 %</a></h2> <p>Les malwares deviennent plus intelligents. Le Rapport Rouge 2026 révèle comment les nouvelles menaces utilisent les mathématiques pour détecter les sandboxes et se cacher à la vue de tous.</p> <p>Téléchargez notre analyse de 1,1 million d'échantillons malveillants pour découvrir les 10 principales techniques et voir si votre pile de sécurité est aveugle.</p> </div> </div>