Adobe Commerce

Pesquisadores de cibersegurança descobriram um novo skimmer de pagamento que utiliza canais de dados WebRTC para receber cargas maliciosas e exfiltrar dados, contornando controles de segurança tradicionais. Em um ataque recente, um site de e-commerce de um fabricante de automóveis foi comprometido devido à vulnerabilidade PolyShell, que afeta o Magento Open Source e o Adobe Commerce. Essa falha permite que atacantes não autenticados carreguem executáveis arbitrários via API REST, resultando em execução de código. Desde 19 de março de 2026, a PolyShell tem sido amplamente explorada, com mais de 50 endereços IP envolvidos na atividade de varredura, afetando 56,7% das lojas vulneráveis. O skimmer estabelece uma conexão peer-to-peer WebRTC com um endereço IP específico e injeta código JavaScript na página da web para roubar informações de pagamento. A utilização de WebRTC representa uma evolução significativa nos ataques de skimmer, pois contorna as diretrizes de Política de Segurança de Conteúdo (CSP), dificultando a detecção do tráfego malicioso. A Adobe lançou uma correção para a vulnerabilidade, mas ainda não está disponível nas versões de produção. Os proprietários de sites são aconselhados a bloquear o acesso a diretórios específicos e a escanear suas lojas em busca de shells web e outros malwares.

Recentemente, a vulnerabilidade PolyShell, presente nas versões 2 do Magento Open Source e Adobe Commerce, começou a ser explorada em massa, afetando mais de 56% das lojas vulneráveis. A empresa de segurança Sansec relatou que os ataques começaram em 19 de março, apenas dois dias após a divulgação pública do problema. A falha está relacionada à API REST do Magento, que permite o upload de arquivos, possibilitando a execução remota de código e a tomada de controle de contas através de cross-site scripting (XSS) armazenado, dependendo da configuração do servidor web.

Uma nova vulnerabilidade, chamada ‘PolyShell’, foi descoberta e afeta todas as versões estáveis 2 do Magento Open Source e do Adobe Commerce. Essa falha permite a execução de código não autenticado e a tomada de controle de contas. Embora não haja evidências de exploração ativa até o momento, a empresa de segurança eCommerce Sansec alerta que métodos de exploração já estão circulando, prevendo que ataques automatizados possam começar em breve. A Adobe lançou uma correção, mas ela está disponível apenas na segunda versão alfa da versão 2.4.9, deixando as versões de produção vulneráveis. A vulnerabilidade está relacionada à API REST do Magento, que aceita uploads de arquivos como parte das opções personalizadas para itens do carrinho. Quando um produto tem uma opção do tipo ‘arquivo’, o Magento processa um objeto file_info embutido que contém dados de arquivo codificados em base64, tipo MIME e nome do arquivo, escrevendo-o no servidor. A Sansec observou que muitos sites expõem arquivos no diretório de upload, aumentando o risco de execução remota de código ou tomada de conta via XSS armazenado. Até que a Adobe disponibilize um patch para as versões de produção, recomenda-se que os administradores de lojas restrinjam o acesso ao diretório pub/media/custom_options/, verifiquem as regras do servidor web e realizem varreduras em busca de shells e malware.

Uma vulnerabilidade crítica, identificada como CVE-2025-54236 e chamada de SessionReaper, está sendo explorada ativamente por hackers em plataformas de comércio eletrônico como Adobe Commerce e Magento. Essa falha permite a execução remota de código e a tomada de controle de contas de clientes em milhares de lojas online. Detectada pela primeira vez em 22 de outubro de 2025, a vulnerabilidade combina uma sessão maliciosa com um bug de desserialização na API REST do Magento, permitindo que atacantes façam upload de backdoors PHP disfarçados. Apesar de um patch de emergência ter sido lançado pela Adobe em 9 de setembro, a adoção do mesmo foi lenta, com menos de 40% das lojas afetadas aplicando a correção até a data da descoberta. A situação é agravada pelo fato de que a Adobe inicialmente minimizou a gravidade da vulnerabilidade em seu aviso oficial. Com 62% das lojas ainda sem correção, a ameaça continua a evoluir, exigindo ações imediatas por parte dos administradores de sistemas para evitar compromissos.

A empresa de segurança cibernética Sansec alertou que criminosos cibernéticos começaram a explorar uma vulnerabilidade crítica recentemente divulgada nas plataformas Adobe Commerce e Magento Open Source. A falha, identificada como CVE-2025-54236, possui uma pontuação CVSS de 9.1 e permite a tomada de controle de contas de clientes através da API REST do Commerce. Desde a divulgação pública da vulnerabilidade, mais de 250 tentativas de ataque foram registradas em apenas 24 horas, com 62% das lojas Magento ainda vulneráveis. Os ataques têm origem em diversos endereços IP, onde os invasores utilizam a falha para implantar webshells PHP ou extrair informações de configuração do PHP. A Sansec recomenda que os administradores de sites apliquem os patches disponíveis o mais rápido possível para evitar a exploração mais ampla da vulnerabilidade. Essa é a segunda falha de desserialização crítica que afeta as plataformas Adobe Commerce e Magento em dois anos, o que destaca a necessidade urgente de atenção e ação por parte dos administradores de sistemas.