Kritična ranljivost PolyShell ogroža vse Magento spletne trgovine

Raziskovalci kibernetske varnosti so razkrili resno varnostno ranljivost z vzdevkom PolyShell, ki prizadene vse stabilne različice platforme Magento Open Source in Adobe Commerce različice 2. Ranljivost omogoča nepooblaščenemu napadalcu izvajanje poljubne kode na strežniku ter popoln prevzem uporabniških računov brez predhodne avtentikacije.

Pomanjkljivost predstavlja kritično grožnjo za na tisoče spletnih trgovin po vsem svetu, ki uporabljajo to priljubljeno platformo za e-trgovino. Magento je ena vodilnih rešitev za spletno prodajo, zato je potencialni vpliv izjemno obsežen. Napadalci lahko ranljivost izkoristijo za krajo občutljivih podatkov strank, vključno s plačilnimi informacijami, namestitev zlonamerne programske opreme ali popolno kompromitiranje spletne trgovine.

PolyShell izkorišča kompleksno verigo varnostnih pomanjkljivosti v jedru Magento platforme, kar napadalcem omogoča obhod avtentikacijskih mehanizmov in izvajanje arbitrarnih ukazov na operacijskem sistemu strežnika. Posebej zaskrbljujoč je dejstvo, da ranljivost ne zahteva nobenih privilegijev ali predhodnega dostopa do sistema.

Strokovnjaki za varnost opozarjajo, da so poskusi izkoriščanja ranljivosti že bili zaznani v prostem internetu, kar nakazuje na aktivno iskanje ranljivih sistemov s strani kibernetskih kriminalcev. Čas za ukrepanje je zato kritično pomemben.

Adobe je že izdal varnostne popravke za prizadete različice. Administratorji Magento in Adobe Commerce spletnih trgovin morajo nemudoma namestiti najnovejše varnostne posodobitve. Poleg tega je priporočljivo začasno onemogočiti nepotrebne module, implementirati dodatne požarne zidove na aplikacijski ravni (WAF) ter spremljati dnevniške datoteke za sumljive aktivnosti.

Strokovnjaki priporočajo tudi revizijo obstoječih uporabniških računov in preverjanje morebitnih nepooblaščenih sprememb v konfiguraciji sistema. Podjetja bi morala preventivno preveriti tudi integriteto shranjenih podatkov strank in po potrebi obvestiti uporabnike o potencialni izpostavljenosti njihovih informacij.


Vir: https://www.bleepingcomputer.com/news/security/new-polyshell-flaw-allows-unauthenticated-rce-on-magento-e-stores/
Originalna objava: 2026-03-19
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.

Deli z drugimi:

Leave a Reply