Netcrook Logo
👤 KERNELWATCHER
🗓️ 25 Mar 2026  

PolyShell Desatado: Sitios de Comercio Electrónico Bajo Asedio Mientras Hackers Arman la Vulnerabilidad de la API REST de Magento

Una vulnerabilidad crítica y sin parchear en Magento está permitiendo ataques masivos y la toma total de cuentas en miles de tiendas en línea.

El bullicio de las compras en línea oculta un campo de batalla digital. En los últimos días, los ciberdelincuentes han lanzado un asalto implacable contra las plataformas Magento y Adobe Commerce, explotando una vulnerabilidad tan grave que les otorga las llaves de miles de reinos del comercio electrónico. Mientras los propietarios de tiendas buscan respuestas, una falla conocida como “PolyShell” está siendo armada en tiempo real, convirtiendo carritos de compra confiables en parques de juegos para hackers.

Anatomía de una Brecha

La vulnerabilidad PolyShell, descubierta por el equipo forense de Sansec, ataca el corazón de la API REST de Magento - específicamente, la función de carrito de invitados anónimos. Aquí, el sistema está diseñado para manejar cargas de archivos personalizadas, como imágenes proporcionadas por el usuario para productos personalizados. Pero esta función aparentemente inocua está plagada de omisiones fatales: la API no verifica si realmente se necesita una carga de archivo, ignora los IDs de opción y no impone restricciones sobre las extensiones de archivo.

Esto significa que los hackers ni siquiera necesitan iniciar sesión. Pueden cargar archivos que contienen código malicioso directamente en el servidor. Al incrustar scripts PHP dentro de archivos GIF o PNG aparentemente inofensivos - una técnica conocida como poliglotismo - los atacantes evaden fácilmente los controles de seguridad básicos. Una vez cargados, estos archivos pueden ejecutarse en el servidor, otorgando a los atacantes la capacidad de ejecutar comandos arbitrarios, instalar web shells y tomar el control total de cuentas de usuario y datos de la tienda.

El peligro se agrava por la ausencia de un parche para los entornos de producción actuales. Solo la rama inédita 2.4.9-alpha3 aborda la falla, dejando todas las versiones anteriores completamente expuestas. Sansec informa que el escaneo y explotación masiva automatizada comenzó el 19 de marzo de 2026, con atacantes utilizando hashes de autenticación codificados y nombres de archivos ofuscados para evadir la detección. Las cargas útiles comunes llevan nombres como index.php, json-shell.php y c.php. Algunos ataques incluso emplean trucos Unicode para eludir los filtros de nombres de archivo.

Las consecuencias son graves: ejecución remota de código, web shells persistentes y toma total de cuentas. Los actores de amenazas pueden cargar malware adicional, robar datos de clientes o mantener acceso a largo plazo para futuras explotaciones.

Manual de Defensa

Hasta que Adobe publique una solución integral, la responsabilidad recae en los administradores y equipos de seguridad. Los expertos instan a desplegar inmediatamente Firewalls de Aplicaciones Web (WAF) para bloquear intentos de explotación en tiempo real. Los directorios del servidor como pub/media/custom_options/ deben estar estrictamente bloqueados - los usuarios de Nginx deben aplicar reglas de denegación estrictas, mientras que las configuraciones en Apache requieren una cuidadosa configuración de .htaccess. Escanear regularmente el sistema de archivos es vital, ya que el malware latente puede permanecer sin ser detectado incluso si los ataques iniciales fallan.

Réplicas y Perspectivas

La tormenta PolyShell ha expuesto más que una falla técnica - es una llamada de atención para el mundo del comercio electrónico. A medida que los atacantes explotan las brechas más rápido de lo que los proveedores pueden cerrarlas, la vigilancia y la respuesta rápida ya no son opcionales. Para miles de negocios en línea, los próximos días serán una carrera contra el tiempo para asegurar sus escaparates digitales antes de la próxima brecha.

WIKICROOK

  • Ejecución Remota de Código (RCE): La Ejecución Remota de Código (RCE) ocurre cuando un atacante ejecuta su propio código en el sistema de la víctima, lo que a menudo conduce al control total o la vulneración de ese sistema.
  • API REST: Una API REST es un conjunto de reglas que permite que diferentes sistemas de software se comuniquen a través de Internet, actuando como un traductor entre sitios web y aplicaciones.
  • Archivo Poliglota: Un archivo poliglota es válido en múltiples formatos, lo que permite a los atacantes ocultar malware en archivos que parecen inofensivos, eludiendo los controles de seguridad.
  • Web Shell: Un web shell es un script malicioso subido a un servidor por hackers, permitiéndoles controlar el servidor de forma remota a través de una interfaz web.
  • Firewall de Aplicaciones Web (WAF): Un Firewall de Aplicaciones Web (WAF) monitorea y filtra el tráfico web, bloqueando patrones de ataque conocidos para proteger aplicaciones web de amenazas cibernéticas.
Magento Cybersecurity E-Commerce
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news