Вразливість PolyShell впливає на всі стабільні версії Magento Open Source та Adobe Commerce версії 2, дозволяючи зловмисникам виконувати код віддалено без авторизації та захоплювати облікові записи користувачів. Проблема виникає в REST API Magento, яке приймає завантаження файлів для користувацьких опцій товарів у кошику. Коли тип опції — «файл», система обробляє об’єкт file_info з base64-кодованими даними, типом MIME та назвою файлу, після чого записує файл у папку pub/media/custom_options/quote/ на сервері. PolyShell використовує спеціальний поліморфний файл, який одночасно є зображенням і скриптом. Залежно від конфігурації веб-сервера це призводить до виконання коду або збереженого XSS, що дає змогу захопити акаунт. Дослідники Sansec перевірили відомі магазини Magento і Adobe Commerce і виявили, що багато з них відкривають файли в папці завантажень.

Наразі активної експлуатації не зафіксовано, але метод уже поширюється в хакерських колах, і очікується, що автоматизовані атаки почнуться найближчим часом. Adobe випустила виправлення в другому альфа-релізі версії 2.4.9, проте виробничі версії залишаються вразливими. Компанія запропонувала приклад конфігурації веб-сервера для обмеження шкоди, але більшість магазинів використовують налаштування хостинг-провайдерів. Adobe не відповіла на запити щодо термінів оновлення для робочих версій. Вразливість загрожує тисячам онлайн-магазинів, оскільки дозволяє зловмисникам завантажувати шкідливий код без входу в систему.