Mit „PolyShell“ ist eine schwerwiegende Zero-Day-Schwachstelle in Magento Open Source und Adobe Commerce öffentlich geworden. Die Sicherheitslücke ermöglicht es Angreifern, ohne gültige Authentifizierung schädliche Dateien auf den Server hochzuladen und auszuführen. Betroffene Shops riskieren dadurch Datenabfluss, Manipulation von Inhalten, Spam-Versand oder im schlimmsten Fall die vollständige Übernahme des Systems.

Da derzeit nicht für alle Installationen ein offizieller Patch verfügbar ist, sollten Betreiber kurzfristig technische Schutzmaßnahmen auf Infrastruktur-Ebene umsetzen.

Empfohlene Sofortmaßnahmen

• Upload-Funktionen und nicht zwingend benötigte API-Endpunkte temporär einschränken
• Schreibrechte im Webroot sowie in Media- und Var-Verzeichnissen prüfen und minimieren
• Backend-Zugriffe zusätzlich absichern (IP-Whitelist, VPN, 2-Faktor-Authentifizierung)
• Webserver-Logs und Magento-Logs verstärkt auf ungewöhnliche Requests überwachen
• Aktuelle Backups erstellen und Wiederherstellbarkeit testen
• Web Application Firewall (z. B. ModSecurity / Cloud-WAF) mit aktuellen Regeln einsetzen

Apache-Regeln anpassen

# Block upload to custom_options folder (CVE hardening) to avoid PolyShell exploit
RewriteCond %{REQUEST_URI} ^/media/custom_options(/|$) [NC]
RewriteRule .* - [F,L]

.htaccess in pub/media

<IfModule mod_php.c>
    php_flag engine 0
</IfModule>

<FilesMatch ".*\.(ph(p[34578]?|t|tml)|[aj]sp|p[ly]|sh|cgi|shtml?|html?)$">
    SetHandler default-handler
</FilesMatch>

Siehe auch:
https://www.ad-hoc-news.de/boerse/news/ueberblick/polyshell-kritische-luecke-in-magento-gefaehrdet-tausende-onlineshops/68965226
https://thehackernews.com/2026/03/magento-polyshell-flaw-enables.html