В популярном расширении для оформления заказов Amasty Order Attributes, используемом в платформах Magento 2 и Adobe Commerce, обнаружена критическая уязвимость, связанная с неаутентифицированной произвольной загрузкой файлов. Проблема идентифицирована как CVE-2026-53787 и получила базовую оценку по системе CVSS 9,3 из 10 - наивысший уровень опасности. Уязвимость затрагивает все версии расширения до 3.16.0 включительно. Разработчик, компания Amasty, выпустил исправление в версии 4.0.0 12 июня 2026 года.
Уязвимость CVE-2026-53787
Суть проблемы заключается в том, что злоумышленник может отправить на уязвимый сервер файл любого типа и с любым именем в директорию media без необходимости проходить аутентификацию, иметь активную сессию или даже корзину покупок. Атака совершается через штатный трафик витрины магазина. Если в конфигурации сервера разрешено выполнение PHP-файлов в каталоге pub/media, загруженный вредоносный скрипт запускается с привилегиями веб-сервера. Это открывает путь к удалённому выполнению кода (Remote Code Execution, RCE). В классификации слабых мест данная проблема относится к CWE-434 - неограниченная загрузка файлов опасного типа.
Уязвимость была исправлена разработчиком без публичного анонса - в журнале изменений версии 4.0.0 указано, что "улучшен код для устранения потенциальной уязвимости безопасности". Вместе с тем отмечается, что обновление несовместимо с предыдущими версиями, поскольку в конечную точку загрузки был добавлен новый обязательный параметр attribute_code. Исправление включает проверку загружаемых файлов перед их сохранением, контроль разрешённых расширений и требование наличия корректного атрибута файла.
Последствия эксплуатации уязвимости для магазинов могут быть серьёзными. В случае, если веб-сервер обрабатывает PHP в папке pub/media, злоумышленник получает возможность загрузить и выполнить произвольный код. Это позволяет установить скриммеры платежных данных, бэкдоры, создать учётную запись администратора или похитить базу данных. Даже если PHP-интерпретация отключена для этой директории, атакующий может разместить вредоносные файлы в формате .phar, фишинговые комплекты или другие вредоносные программы, которые будут обслуживаться с доверенного домена магазина. Кроме того, загруженные HTML- или SVG-файлы могут содержать скрипты для межсайтового выполнения (Stored XSS). Такие скрипты срабатывают в браузере посетителя или администратора, что ведёт к краже сессий и захвату учётной записи администратора. В версии 3.16.0 из-за отсутствия санации имени файла возможен также обход каталога (path traversal) - запись за пределы штатной папки amasty_checkout. В версиях до 2.4.2 проблема была ещё серьёзнее - файл мог быть записан вообще за пределы media-папки.
Атака не требует никаких учётных данных, выполняется через обычный трафик витрины и легко автоматизируется для массового поражения множества магазинов. После выхода патча злоумышленники получили чёткую точку прицела - сама уязвимость стала известна широкой общественности, что существенно повышает давление сканирований на незащищённые магазины.
Исследователи из компании Sansec, специализирующейся на безопасности электронной коммерции, сообщают, что их система защиты Sansec Shield блокирует такие загрузки в реальном времени независимо от версии платформы. Продукт анализирует входящие запросы на уровне серверов приложений и не позволяет записать подозрительные файлы до того, как они достигнут диска. Эта защита не привязана к конкретным сигнатурам и останавливает не только данную уязвимость, но и целый класс атак, связанных с неаутентифицированной загрузкой файлов в расширениях Magento.
Организациям, использующим Amasty Order Attributes, настоятельно рекомендуется немедленно обновить расширение до версии 4.0.0 или новее. Перед обновлением необходимо учитывать, что API загрузки теперь требует обязательного параметра attribute_code, поэтому потребуется проверка совместимости с текущей реализацией checkout-процесса. Если немедленное обновление невозможно, следует развернуть систему мониторинга и блокировки подозрительных загрузок, например, Sansec Shield или аналогичные средства. Также целесообразно провести сканирование веб-серверов на предмет уже загруженных вредоносных файлов (webshells, бэкдоры) с помощью специализированных утилит (например, eComscan). Рекомендуется проверить директории pub/media на наличие неожиданных файлов с расширениями .php, .phtml, .phar, .html и .svg. В качестве дополнительной меры защиты на уровне конфигурации сервера стоит отключить выполнение PHP-кода в каталоге pub/media, хотя это не устраняет все сценарии атаки (например, загрузку .phar или файлов для XSS).
Таким образом, уязвимость CVE-2026-53787 представляет собой серьёзную брешь в безопасности интернет-магазинов на Magento. Её эксплуатация позволяет удалённо выполнять код без каких-либо учётных данных. Патч уже доступен, но его установка требует внимательности из-за обратной несовместимости. Организации, которые не обновятся в ближайшее время, рискуют стать жертвой автоматизированных атак, нацеленных на скомпрометированные установки расширения.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-53787
- https://sansec.io/research/amasty-order-attributes-file-upload
- https://www.vulncheck.com/advisories/amasty-order-attributes-for-magento-2-unauthenticated-arbitrary-file-upload
