Wer einen Onlineshop auf Basis von Magento 2 betreibt, steht gerade unter direktem Beschuss. Eine seit mindestens 11 Jahren im Code schlummernde Schwachstelle namens PolyShell wird aktiv ausgenutzt, und ein neu entdeckter Web-Skimmer zapft in kompromittierten Shops bereits Zahlungsdaten von Kunden ab. Einen Patch für Produktivsysteme gibt es nicht.

Die Schwachstelle: PolyShell

Das Sicherheitsunternehmen Sansec entdeckte die Schwachstelle am 17. März 2026. Sie steckt im REST-API von Magento und ist offenbar seit der allerersten Magento-2-Version aus dem Jahr 2015 vorhanden. Das Kernproblem: Datei-Uploads für Produktoptionen werden nicht ausreichend validiert.

Angreifer können ohne jede Anmeldung eine speziell präparierte sogenannte Polyglot-Datei hochladen, die sich gleichzeitig als harmlose Bilddatei und als ausführbares Skript tarnt. Landet diese Datei im Verzeichnis pub/media/custom_options/quote/, kann sie je nach Serverkonfiguration direkt ausgeführt werden. Das Ergebnis ist Remote Code Execution (RCE), also die vollständige Übernahme des Servers.

Adobe hat die Lücke unter dem Kennzeichen APSB25-94 anerkannt und in der Vorabversion 2.4.9-alpha2 behoben. Das Problem bleibt, dass für alle produktiv laufenden Magento-Versionen kein isolierter Sicherheitspatch existiert. Eine von Adobe bereitgestellte Beispiel-Webserverkonfiguration würde den Angriffsvektor zwar einschränken, greift aber bei den meisten Shops nicht, weil diese abweichende Standardkonfigurationen nutzen.

Die Angriffswelle: 7.500 Shops bereits betroffen

Bereits seit dem 27. Februar 2026 läuft laut dem Sicherheitsunternehmen Netcraft eine großangelegte Defacement-Kampagne, die über 7.500 Magento-Domains weltweit betrifft. Angreifer haben Defacement-Dateien auf Tausenden von Hostnamen hinterlegt, darunter Infrastrukturen bekannter Marken, E-Commerce-Plattformen und staatlicher Dienste.

Die Exploit-Details sind inzwischen öffentlich dokumentiert. Das bedeutet in der Praxis, dass automatisierte Angriffswerkzeuge typischerweise innerhalb von Stunden nach Veröffentlichung solcher Analysen im Umlauf sind.

Am 7. April 2026 dokumentierte Sansec eine weitere Angriffsstufe. In den frühen Morgenstunden infizierten Angreifer rund 99 Magento-Shops mit einem sogenannten Magecart-Skimmer, der in einem winzigen, unsichtbaren SVG-Element (1×1 Pixel) im HTML des Shops versteckt ist. Der gesamte Schadcode ist darin base64-kodiert eingebettet, was typische Sicherheitsscanner, die nach externen Script-Einbindungen suchen, ins Leere laufen lässt.

Wenn ein Kunde den Checkout-Button klickt, fängt der Skimmer diesen Klick ab und blendet stattdessen ein täuschend echtes Overlay ein: eine „Secure Checkout“-Maske mit Kreditkartenfeldern samt Echtzeit-Luhn-Prüfung und vollständigem Rechnungsformular. Gibt der Kunde seine Daten ein, werden diese XOR-verschlüsselt und base64-kodiert an einen der sechs vom Angreifer kontrollierten Server übertragen, alle hinter dem Endpunkt /fb_metrics.php, der als Facebook-Analytics-Tracker getarnt ist. Anschließend wird der Kunde zur echten Checkout-Seite weitergeleitet. Die meisten Betroffenen bemerken den Angriff nicht.

Alle sechs Exfiltrations-Domains lösen zur IP-Adresse 23.137.249.67 auf, gehostet bei IncogNet LLC (AS40663) in den Niederlanden. Bekannte Domains der Kampagne sind: statistics-for-you.com, statistics-renew.com, morningflexpleasure.com, reusable-flex.com, goingfatter.com und wellfacing.com.