Exploitation massive de PolyShell : 56% des boutiques Magento vulnérables ciblées
Source : BleepingComputer / Sansec — Date : Mars 2026
Type : annonce d’incident
Pays/Zone : Global
Tags : Magento Adobe Commerce PolyShell skimmer WebRTC RCE XSS eCommerce
🧩 Contexte
Une vulnérabilité critique baptisée PolyShell affecte Magento Open Source v2 et Adobe Commerce. Deux jours après sa divulgation publique, une exploitation de masse a débuté le 19 mars 2026. La société Sansec rapporte que 56,7% de l’ensemble des boutiques vulnérables ont déjà été ciblées.
🔍 Détails techniques
Le problème réside dans l’API REST de Magento, qui accepte des uploads de fichiers dans les options personnalisées d’un article du panier. Cette fonctionnalité permet l’utilisation de fichiers polyglots pour :
- Obtenir une exécution de code à distance (RCE)
- Réaliser une prise de contrôle de compte via XSS stocké
…selon la configuration du serveur web.
Adobe a publié un correctif dans la version 2.4.9-beta1 le 10 mars 2026, mais celui-ci n’a pas encore été intégré à la branche stable. Aucune réponse d’Adobe n’a été obtenue concernant une mise à jour pour les versions de production.
💳 Skimmer WebRTC — Technique d’exfiltration inédite
Dans certaines des attaques liées à PolyShell, un skimmer de carte bancaire nouvelle génération a été déployé. Sa particularité : l’utilisation de WebRTC (Web Real-Time Communication) pour exfiltrer les données.
Caractéristiques techniques du skimmer :
- Utilise DTLS-encrypted UDP (et non HTTP), contournant les contrôles de sécurité même sur les sites avec une Content Security Policy (CSP) stricte (
connect-src) - Loader JavaScript léger se connectant à un serveur C2 hardcodé via WebRTC
- Contourne le signaling standard en intégrant un échange SDP forgé
- Reçoit un payload de second stage via le canal chiffré
- Contourne la CSP en réutilisant un nonce de script existant, ou en se rabattant sur
unsafe-evalou l’injection directe de script - Exécution retardée via
requestIdleCallbackpour réduire la détection
🎯 Victime notable
Le skimmer a été détecté sur le site e-commerce d’un constructeur automobile valorisé à plus de 100 milliards de dollars. Ce dernier n’a pas répondu aux notifications de Sansec.
📡 Indicateurs de compromission
Sansec a publié une liste d’adresses IP utilisées pour le scan de boutiques vulnérables à PolyShell, ainsi qu’un ensemble d’IOCs pour aider les défenseurs.
📌 Nature de l’article
Article de presse spécialisée rapportant une exploitation active et de masse d’une vulnérabilité critique récemment divulguée dans Magento/Adobe Commerce, avec description d’une technique d’exfiltration inédite via WebRTC.
Threat Actors : non identifiés Secteurs ciblés : Commerce (e-commerce), Industrie automobile CVEs : non communiqué (vulnérabilité désignée sous le nom « PolyShell ») Malwares/Outils : Skimmer JavaScript WebRTC (sans nom officiel)
MITRE ATT&CK :
| ID | Nom | Tactique |
|---|---|---|
| T1190 | Exploit Public-Facing Application | Initial Access |
| T1059.007 | JavaScript | Execution |
| T1071 | Application Layer Protocol | Command and Control |
| T1041 | Exfiltration Over C2 Channel | Exfiltration |
| T1505.003 | Web Shell | Persistence |
🔗 Source originale : https://www.bleepingcomputer.com/news/security/polyshell-attacks-target-56-percent-of-all-vulnerable-magento-stores/