Magento Sicherheitslücke: Eine seit 2015 unentdeckte Sicherheitslücke namens PolyShell macht alle Magento-2-Versionen angreifbar – und eine massive Angriffswelle läuft bereits. Mehr als 7.500 Shops weltweit sind bereits kompromittiert. Ein Patch existiert nicht.
Inhaltsverzeichnis
Fasse den Artikel im Bullet-Stil zusammen.
Was ist die Sicherheitslücke PolyShell?
Das Sicherheitsunternehmen Sansec entdeckte die Schwachstelle am 17. März 2026. Sie steckt im REST-API von Magento – und das offenbar seit der allerersten Magento -2-Version aus dem Jahr 2015. Das Kernproblem: Datei-Uploads für Produktoptionen werden nicht ausreichend validiert.
Angreifer können ohne Login eine speziell präparierte Polyglot-Datei hochladen, die sich gleichzeitig als Bild und als ausführbares Skript tarnt. Landet diese Datei im Verzeichnis pub/media/custom_options/quote/, kann sie je nach Serverkonfiguration direkt ausgeführt werden. Das Ergebnis: Remote Code Execution (RCE) – die vollständige Übernahme des Shops.
Der Patch existiert – aber nicht für deinen Shop
Adobe hat die Lücke unter dem Kennzeichen APSB25-94 anerkannt und in der Vorabversion 2.4.9-alpha2 behoben. Das Dilemma: Für alle produktiv laufenden Versionen gibt es keinen isolierten Sicherheitspatch. Die Korrektur steckt ausschließlich in einer Alpha-Version, die für Live-Systeme nicht geeignet ist.
Adobe stellt zwar eine Beispielkonfiguration für den Webserver bereit, die den Angriffsvektor einschränken würde – aber die meisten Shops laufen mit abweichenden Standardkonfigurationen, sodass diese Hilfe ins Leere läuft.
7.500 Shops gekapert – die Angriffswelle läuft noch
Bereits seit dem 27. Februar 2026 läuft eine großangelegte Defacement-Kampagne, die laut dem Sicherheitsunternehmen Netcraft über 7.500 Magento-Domains weltweit betrifft. Angreifer haben dabei Defacement-Dateien auf Tausenden von Hostnamen hinterlegt – darunter Infrastrukturen bekannter Marken, E-Commerce-Plattformen und staatlicher Dienste. Ob diese Kampagne exakt die PolyShell-Lücke nutzt, ist noch nicht abschließend bestätigt. Dass sie auf Magento-Schwachstellen basiert, ist gesichert.
Die Exploit-Details sind inzwischen öffentlich. Sicherheitsforscher haben die verschachtelte Deserialisierungstechnik, die Remote Code Execution ermöglicht, technisch vollständig dokumentiert. Das bedeutet: Automatisierte Angriffswerkzeuge sind in der Regel innerhalb von Stunden nach Veröffentlichung solcher Analysen im Umlauf.
Was du als Magento-Shopbetreiber jetzt sofort tun musst
Sansec empfiehlt zwei sofortige Maßnahmen. Erstens: Den Zugriff auf das Verzeichnis pub/media/custom_options/ über die Webserver-Konfiguration (Nginx oder Apache) vollständig blockieren. Dabei sicherstellen, dass keine anderen Konfigurationsregeln diese Sperre aufheben.
Zweitens: Das System auf bereits eingeschleuste Malware prüfen. Auch wenn der Zugriff gesperrt wird, könnten Webshells oder Backdoors bereits auf dem Server liegen. Spezialisierte Lösungen wie Sansec Shield können Exploit-Versuche in Echtzeit erkennen und blockieren. Wer Auffälligkeiten findet: Server sofort isolieren, aus einem sauberen Backup wiederherstellen und alle Passwörter und Zugriffsschlüssel ändern.
Daneben gilt: Alle PHP-Dateien in Medienverzeichnissen kontrollieren, neu angelegte Administratorkonten prüfen und Logs auf ungewöhnliche API-Zugriffe durchsuchen. Wer noch Magento 1 betreibt – Support seit 2020 eingestellt –, muss jetzt migrieren. Für diese Shops gibt es seit Jahren keine Sicherheitspatches mehr.
PolyShell ist kein Einzelfall – das Muster ist bekannt
Magento ist seit Jahren ein bevorzugtes Angriffsziel. Die Plattform ist weltweit verbreitet, verarbeitet Zahlungsdaten und wird häufig nicht konsequent gepatcht. Skimming-Angriffe, bei denen Kreditkartendaten direkt im Checkout abgefangen werden, gehören seit Jahren zum Standardrepertoire. Die SessionReaper-Lücke (CVE-2025-54236, CVSS 9,1) aus dem Herbst 2025 hatte bereits gezeigt, wie schnell Sicherheitslücken in Magento ausgenutzt werden – innerhalb von 48 Stunden nach Bekanntwerden wurden damals über 300 automatisierte Angriffe auf mehr als 130 Server verzeichnet, und sechs Wochen später war noch immer knapp 62 Prozent aller Magento-Shops ungepatcht.
PolyShell ist ernster: kein Patch für Produktivsysteme, Exploit-Details öffentlich, Angriffswelle bereits aktiv. Wer jetzt nichts tut, überlässt Hackern freie Hand im eigenen Shop – und haftet gegenüber seinen Kunden für jeden gestohlenen Datensatz.
