Magento Sicherheitslücke: Eine seit 2015 unentdeckte Sicherheitslücke namens PolyShell macht alle Magento-2-Versionen angreifbar – und eine massive Angriffswelle läuft bereits. Mehr als 7.500 Shops weltweit sind bereits kompromittiert. Ein Patch existiert nicht.
Inhaltsverzeichnis
Fasse den Artikel im Bullet-Stil zusammen.
Was ist die Sicherheitslücke PolyShell?
Das Sicherheitsunternehmen Sansec entdeckte die Schwachstelle am 17. März 2026. Sie steckt im REST-API von Magento – und das offenbar seit der allerersten Magento -2-Version aus dem Jahr 2015. Das Kernproblem: Datei-Uploads für Produktoptionen werden nicht ausreichend validiert.
Angreifer können ohne Login eine speziell präparierte Polyglot-Datei hochladen, die sich gleichzeitig als Bild und als ausführbares Skript tarnt. Landet diese Datei im Verzeichnis pub/media/custom_options/quote/, kann sie je nach Serverkonfiguration direkt ausgeführt werden. Das Ergebnis: Remote Code Execution (RCE) – die vollständige Übernahme des Shops.
Der Patch existiert – aber nicht für deinen Shop
Adobe hat die Lücke unter dem Kennzeichen APSB25-94 anerkannt und in der Vorabversion 2.4.9-alpha2 behoben. Das Dilemma: Für alle produktiv laufenden Versionen gibt es keinen isolierten Sicherheitspatch. Die Korrektur steckt ausschließlich in einer Alpha-Version, die für Live-Systeme nicht geeignet ist.
Adobe stellt zwar eine Beispielkonfiguration für den Webserver bereit, die den Angriffsvektor einschränken würde – aber die meisten Shops laufen mit abweichenden Standardkonfigurationen, sodass diese Hilfe ins Leere läuft.
7.500 Shops gekapert – die Angriffswelle läuft noch
Bereits seit dem 27. Februar 2026 läuft eine großangelegte Defacement-Kampagne, die laut dem Sicherheitsunternehmen Netcraft über 7.500 Magento-Domains weltweit betrifft. Angreifer haben dabei Defacement-Dateien auf Tausenden von Hostnamen hinterlegt – darunter Infrastrukturen bekannter Marken, E-Commerce-Plattformen und staatlicher Dienste. Ob diese Kampagne exakt die PolyShell-Lücke nutzt, ist noch nicht abschließend bestätigt. Dass sie auf Magento-Schwachstellen basiert, ist gesichert.
Die Exploit-Details sind inzwischen öffentlich. Sicherheitsforscher haben die verschachtelte Deserialisierungstechnik, die Remote Code Execution ermöglicht, technisch vollständig dokumentiert. Das bedeutet: Automatisierte Angriffswerkzeuge sind in der Regel innerhalb von Stunden nach Veröffentlichung solcher Analysen im Umlauf.
Was du als Magento-Shopbetreiber jetzt sofort tun musst
Sansec empfiehlt zwei sofortige Maßnahmen. Erstens: Den Zugriff auf das Verzeichnis pub/media/custom_options/ über die Webserver-Konfiguration (Nginx oder Apache) vollständig blockieren. Dabei sicherstellen, dass keine anderen Konfigurationsregeln diese Sperre aufheben.
Zweitens: Das System auf bereits eingeschleuste Malware prüfen. Auch wenn der Zugriff gesperrt wird, könnten Webshells oder Backdoors bereits auf dem Server liegen. Spezialisierte Lösungen wie Sansec Shield können Exploit-Versuche in Echtzeit erkennen und blockieren. Wer Auffälligkeiten findet: Server sofort isolieren, aus einem sauberen Backup wiederherstellen und alle Passwörter und Zugriffsschlüssel ändern.
Daneben gilt: Alle PHP-Dateien in Medienverzeichnissen kontrollieren, neu angelegte Administratorkonten prüfen und Logs auf ungewöhnliche API-Zugriffe durchsuchen. Wer noch Magento 1 betreibt – Support seit 2020 eingestellt –, muss jetzt migrieren. Für diese Shops gibt es seit Jahren keine Sicherheitspatches mehr.
PolyShell ist kein Einzelfall – das Muster ist bekannt
Magento ist seit Jahren ein bevorzugtes Angriffsziel. Die Plattform ist weltweit verbreitet, verarbeitet Zahlungsdaten und wird häufig nicht konsequent gepatcht. Skimming-Angriffe, bei denen Kreditkartendaten direkt im Checkout abgefangen werden, gehören seit Jahren zum Standardrepertoire. Die SessionReaper-Lücke (CVE-2025-54236, CVSS 9,1) aus dem Herbst 2025 hatte bereits gezeigt, wie schnell Sicherheitslücken in Magento ausgenutzt werden – innerhalb von 48 Stunden nach Bekanntwerden wurden damals über 300 automatisierte Angriffe auf mehr als 130 Server verzeichnet, und sechs Wochen später war noch immer knapp 62 Prozent aller Magento-Shops ungepatcht.
PolyShell ist ernster: kein Patch für Produktivsysteme, Exploit-Details öffentlich, Angriffswelle bereits aktiv. Wer jetzt nichts tut, überlässt Hackern freie Hand im eigenen Shop – und haftet gegenüber seinen Kunden für jeden gestohlenen Datensatz.
Man, this PolyShell vulnerability in Magento is an absolute nightmare. The fact that it has been sitting there since 2015 is just wild. No proper patch for live sites yet? That is completely unacceptable from Adobe. Shop owners are basically left hanging while hackers have a field day. Honestly, it feels like managing an ecommerce site right now is just as mindless and repetitive as playing those Clicker Games, endlessly hitting refresh and hoping your server has not been hijacked.
Wer Auffälligkeiten findet: Server Snow Rider sofort isolieren, aus einem sauberen Backup wiederherstellen und alle Passwörter und Zugriffsschlüssel ändern.