PolyShell: Kritische Lücke in Magento gefährdet Tausende Onlineshops

Eine neue Zero-Day-Schwachstelle namens PolyShell bedroht alle aktuellen Versionen von Magento Open Source und Adobe Commerce 2. Angreifer können ohne Anmeldung schädliche Dateien hochladen und so die vollständige Kontrolle über Onlineshops übernehmen. Ein Patch für produktive Systeme steht noch aus.

Angesichts der akuten Bedrohung durch Zero-Day-Schwachstellen wie PolyShell stehen viele Unternehmen vor der Herausforderung, ihre IT-Infrastruktur effizient zu schützen. Dieser kostenlose Leitfaden zeigt, wie Sie Ihr Unternehmen mit einfachen Maßnahmen vor kostspieligen Cyberangriffen bewahren können. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Schwere Sicherheitslücke seit 2015 unentdeckt

Die Sicherheitsfirma Sansec entdeckte die Schwachstelle am 17. März 2026. Sie liegt im REST-API von Magento verborgen – und das offenbar seit dem ersten Release von Magento 2 im Jahr 2015. Das Kernproblem: Das System verarbeitet Datei-Uploads für Produktoptionen nicht ausreichend gesichert.

Angreifer können eine speziell präparierte Polyglot-Datei hochladen. Diese Datei tarnt sich gleichzeitig als Bild und ausführbares Skript. Gelangt sie in das Verzeichnis pub/media/custom_options/quote/, kann sie je nach Server-Konfiguration ausgeführt werden. Die Folgen sind gravierend: Remote Code Execution (RCE) und im schlimmsten Fall die vollständige Übernahme des Shops.

Adobe reagiert – aber Patch kommt zu spät

Adobe hat das Problem erkannt und eine Lösung in die Vorabversion 2.4.9-alpha2 integriert. Doch genau hier liegt das Dilemma: Für die tausenden live laufenden Shops gibt es keinen isolierten Sicherheitspatch. Die Fix ist nur in einer Alpha-Version verfügbar, die für Produktivsysteme ungeeignet ist.

Betroffen sind alle stabilen Versionen von Magento Open Source und Adobe Commerce 2 bis einschließlich Version 2.4.9-alpha2. Die potenziellen Schäden reichen von Datenlecks über manipulierte Webseiten bis zum kompletten Kontrollverlust über die E-Commerce-Plattform.

Dringende Handlungsempfehlungen für Shop-Betreiber

Da Exploit-Methoden bereits kursieren und automatisierte Angriffe als unmittelbar bevorstehend gelten, müssen Administratoren jetzt handeln. Sansec empfiehlt zwei zentrale Maßnahmen:

1. Zugriff sofort einschränken
Der Zugriff auf das Verzeichnis pub/media/custom_options/ muss umgehend über die Webserver-Konfiguration (Nginx oder Apache) blockiert werden. Besonders wichtig: Sicherstellen, dass keine anderen Konfigurationen diese Regel außer Kraft setzen.

Während Shop-Betreiber unter Hochdruck Sicherheitslücken schließen, verdeutlicht die aktuelle Lage, warum 73% der deutschen Unternehmen nicht ausreichend auf Cyberangriffe vorbereitet sind. Erfahren Sie in diesem Experten-Report, wie mittelständische Unternehmen effektive Schutzstrategien ohne Budget-Explosion umsetzen. Effektive Strategien gegen Cyberkriminelle entdecken

2. Bestehende Systeme überprüfen
Auch bei gesperrtem Zugriff könnten bereits schädliche Dateien auf dem Server liegen. Shop-Betreiber sollten ihre Systeme dringend auf Webshells, Backdoors oder andere Malware scannen. Spezialisierte Sicherheitslösungen wie Sansec Shield können Exploit-Versuche in Echtzeit blockieren.

Bedrohungslage für E-Commerce spitzt sich zu

Die Enthüllung von PolyShell fällt in eine phase erhöhter Angriffsaktivität auf Magento-Plattformen. Seit dem 27. Februar 2026 läuft bereits eine großangelegte Defacement-Kampagne, die über 7.500 Magento-Seiten weltweit betroffen hat. Ob diese Kampagne die PolyShell-Lücke ausnutzt, ist zwar nicht bestätigt – doch die parallelen Ereignisse zeigen die akute Bedrohung.

Die Cybersecurity-Community erwartet einen schnellen Anstieg automatisierter Angriffe. Kritische Magento-Schwachstellen wurden in der Vergangenheit oft innerhalb von Stunden oder Tagen massiv ausgenutzt. Der Druck auf Adobe, einen produktionsreifen Patch bereitzustellen, wächst damit stündlich.

Bis dahin bleibt nur Wachsamkeit: Shop-Betreiber müssen die empfohlenen Schutzmaßnahmen umsetzen, ihre Systeme intensiv überwachen und auf verdächtige Aktivitäten reagieren. Die PolyShell-Lücke unterstreicht erneut, wie essenziell regelmäßige Sicherheitsaudits, zeitnahe Updates und kontinuierliches Threat-Monitoring für den Schutz von Onlineshops sind.

boerse | 68965226 |