Magento PolyShell: upload de arquivo não autenticado que pode levar à execução de código sob configuração insegura do servidor

A pesquisa da SLCyber examina a vulnerabilidade PolyShell no Magento Open Source e Adobe Commerce. Através da API de convidado, um atacante pode fazer upload de um arquivo para pub/media/custom_options/quote/ sem autenticação, incorporando o conteúdo do arquivo em opções de produto personalizadas dentro do carrinho de compras. A exploração requer apenas um ID de carrinho de convidado e qualquer SKU de produto válido. De acordo com o pesquisador, o produto alvo não precisa ter uma opção de upload de arquivo real habilitada.

A causa raiz é a validação incompleta do conteúdo carregado. O Magento verifica se o arquivo parece ser uma imagem e se seu tipo detectado corresponde ao declarado, mas não aplica estritamente a consistência com a extensão final do arquivo. Como resultado, um arquivo poliglota pode passar na validação como uma imagem enquanto ainda é gravado em disco com uma extensão .php.

Se o servidor estiver configurado para executar PHP a partir desse local, o problema pode ser escalado para execução remota de código.

📎 Artigo: https://slcyber.io/research-center/magento-polyshell-unauthenticated-file-upload-to-rce-in-magento-apsb25-94/

💬 Discutir