Lv.13
Bronze Member
Iron Member
- Oct 14, 2021
- 6,371
- 2,058
- $12,544
Le terme "hacking de chargement Magento 2" fait généralement référence à une classe critique de vulnérabilités de sécurité où les attaquants exploitent les fonctionnalités d'upload de fichiers pour accéder illégalement.
As of April 2026, le plus urgent menace est une vulnérabilité appelée PolyShell qui permet aux attaquants non authentifiés d'uploader des fichiers exécutable sur presque toute la boutique Magento ou Adobe Commerce.
Threat Major: PolyShell (APSB25-94)
Découvert par Sansec, cette vulnérabilité est actuellement exploitée en ligne.
Comment ça fonctionne : Les attaquants utilisent l'API REST pour uploader un fichier appelé "polyglot" - un fichier qui semble être une image valide au serveur mais contient du code PHP caché.
La Vélocité : L'attaque cible la fonction Cart Item Custom Options. Quand un produit permet une option de "fichier" d'upload, l'API accepte des données base64 et sauvegardent ces données dans le dossier pub/media/custom_options/ ou customer_address.
Donc vous devez suivre ici pour protéger votre site Magento 2
1. Configurer open_basedir à partir du dossier pub
2. Configurer la limite sur les fichiers PHP qui peuvent être exécutés et attendre Magento 2.4.9
Nginx
Apache
As of April 2026, le plus urgent menace est une vulnérabilité appelée PolyShell qui permet aux attaquants non authentifiés d'uploader des fichiers exécutable sur presque toute la boutique Magento ou Adobe Commerce.
Threat Major: PolyShell (APSB25-94)
Découvert par Sansec, cette vulnérabilité est actuellement exploitée en ligne.
Comment ça fonctionne : Les attaquants utilisent l'API REST pour uploader un fichier appelé "polyglot" - un fichier qui semble être une image valide au serveur mais contient du code PHP caché.
La Vélocité : L'attaque cible la fonction Cart Item Custom Options. Quand un produit permet une option de "fichier" d'upload, l'API accepte des données base64 et sauvegardent ces données dans le dossier pub/media/custom_options/ ou customer_address.
Donc vous devez suivre ici pour protéger votre site Magento 2
1. Configurer open_basedir à partir du dossier pub
2. Configurer la limite sur les fichiers PHP qui peuvent être exécutés et attendre Magento 2.4.9
Nginx
Code:
location /pub/media/ {
location ~ \.php$ {
deny all;
}
if ($request_filename ~* \.(php|phtml|php5)$ ) {
return 403;
}
}
Code:
<FilesMatch "\.(php|php5|phtml)$">
Order Allow,Deny
Deny from all
</FilesMatch>
Dernière modification par un modérateur: