{"id":322882,"date":"2026-03-23T10:43:24","date_gmt":"2026-03-23T09:43:24","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=322882"},"modified":"2026-03-27T11:34:28","modified_gmt":"2026-03-27T10:34:28","slug":"tausende-magento-websites-gehackt-maerz-2026","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/03\/23\/tausende-magento-websites-gehackt-maerz-2026\/","title":{"rendered":"Tausende Magento-Websites gehackt (M\u00e4rz 2026)"},"content":{"rendered":"

\"SicherheitDerzeit l\u00e4uft wohl eine Kampagne, bei der Magento-Websites gehackt und mit einer Defacement-Meldung verunstaltet werden. Es sollen wohl Tausende an Magento-Websites betroffen sein. Am 7. M\u00e4rz 2026 waren alleine 7.500 Magento Webseiten (bzw. Shops) betroffen, wie ein Sicherheitsanbieter mitteilte. Erg\u00e4nzung:<\/strong> Die Schwachstelle soll demn\u00e4chst behoben werden. Aber gut 50% der Magento-Installationen scheinen angegriffen worden zu sein.<\/p>\n

<\/p>\n

\"\"Ich bin \u00fcber nachfolgenden Tweet bzw. den Security Week-Artikel\u00a0Thousands of Magento Sites Hit in Ongoing Defacement Campaign<\/a> auf den Sachverhalt gesto\u00dfen.<\/p>\n

\"Magento-Website<\/p>\n

netcraft deckt die Kampagne auf<\/h2>\n

Die Kampagne l\u00e4uft seit dem 27. Februar 2026, wie netcraft in diesem Artikel schreibt<\/a>. Deren Sicherheitsforscher haben eine andauernde Kampagne identifiziert, bei der Tausende von Magento-E-Commerce-Websites in verschiedenen Branchen und Regionen kompromittiert und verunstaltet wurden.<\/p>\n

Seit dem 27. Februar 2026 haben Angreifer Defacement-TXT-Dateien auf etwa 15.000 Hostnamen verteilt, die sich auf 7.500 Domains erstrecken, darunter Infrastrukturen, die mit bekannten globalen Marken, E-Commerce-Plattformen und staatlichen Diensten in Verbindung stehen, hei\u00dft es.<\/p>\n

W\u00e4hrend eine kleine Anzahl der Verunstaltungen geopolitische Botschaften enthielt, scheint es sich bei der Mehrheit um opportunistische Angriffe zu handeln, die eher der Zurechnung und dem Ansehen innerhalb des Defacement-\u00d6kosystems dienen als um gezielten Hacktivismus, merken die Sicherheitsforscher von netcraft an.<\/p>\n

Erste Untersuchungen der Spezialisten deuten darauf hin, dass die betroffenen Websites mit Magento betrieben werden und die Defacements offenbar die F\u00e4higkeit des Angreifers demonstrieren, Klartextdateien in \u00f6ffentlich zug\u00e4ngliche Webverzeichnisse hochzuladen.<\/p>\n

Die spannende Frage ist nun, warum es den Angreifern gelingt, die betreffenden Dateien auf Magento-Instanzen hochzuladen. Mein erster Gedanke ist: Da muss es eine Schwachstelle geben.<\/p>\n

Eine Schwachstelle erm\u00f6glicht Datei-Uploads<\/h2>\n

Erste Untersuchungen von netraft deuten darauf hin, dass Angreifer m\u00f6glicherweise eine nicht authentifizierte Datei-Upload-Funktion ausnutzen, die in einigen, jedoch nicht allen Magento-Umgebungen vorhanden ist. Zum Zeitpunkt dieser Ver\u00f6ffentlichung hat Netcraft bislang nur textbasierte Dateiverf\u00e4lschungen festgestellt.<\/p>\n

Die Sicherheitsforscher schreiben aber, dass es noch nicht best\u00e4tigt ist, ob dieses Verhalten mit einer bestimmten Magento-Sicherheitsl\u00fccke oder einer Fehlkonfiguration zusammenh\u00e4ngt.\u00a0Im netcraft-Artikel finden sich noch weitere Details bzw. einige Screenshots der Defacement-Mitteilungen.<\/p>\n

Die Schwachstelle soll bald geschlossen werden<\/h2>\n

Erg\u00e4nzung:<\/strong> Ein Leser hat mich in nachfolgendem Tweet dar\u00fcber informiert, dass es eine \"unrestricted file upload\"-Schwachstelle in allen Magento Open Source und Adobe Commerce-Versionen bis zu 2.4.9-alpha2 geben.<\/p>\n

\"Magento-Schwachstelle\"<\/a><\/p>\n

Das Sansec-Team hat die Details in diesem Beitrag<\/a> zum 17. M\u00e4rz 2026 ver\u00f6ffentlicht.\u00a0Der anf\u00e4llige Code ist laut Artikel bereits seit der allerersten Magento-2-Version vorhanden. Adobe hat ihn im Vorab-Release-Zweig 2.4.9 im Rahmen von APSB25-94 behoben, doch f\u00fcr aktuelle Produktionsversionen gibt es keinen eigenst\u00e4ndigen Patch.<\/p>\n

Zwar stellt Adobe eine Beispielkonfiguration f\u00fcr den Webserver bereit, die die Auswirkungen weitgehend begrenzen w\u00fcrde, doch die meisten Shops verwenden eine benutzerdefinierte Konfiguration ihres Hosting-Anbieters. Sansec untersuchte alle bekannten Magento- und Adobe Commerce-Shops und stellte fest, dass viele Shops Dateien im Upload-Verzeichnis offenlegen.<\/p>\n

Selbst wenn die Ausf\u00fchrung blockiert ist, verbleibt die hochgeladene Datei auf der Festplatte. Eine zuk\u00fcnftige Konfigurations\u00e4nderung, Servermigration oder ein Wechsel des Webservers k\u00f6nnte sie offenlegen.<\/p>\n

Nachtrag:<\/strong> Die Kollegen von Bleeping Computer berichten in diesem Artikel<\/a>, dass PolyShell-Angriffe gegen 50% der Magento-Shops gefahren werden.<\/p>\n","protected":false},"excerpt":{"rendered":"

Derzeit l\u00e4uft wohl eine Kampagne, bei der Magento-Websites gehackt und mit einer Defacement-Meldung verunstaltet werden. Es sollen wohl Tausende an Magento-Websites betroffen sein. Am 7. M\u00e4rz 2026 waren alleine 7.500 Magento Webseiten (bzw. Shops) betroffen, wie ein Sicherheitsanbieter mitteilte. Erg\u00e4nzung: … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,908,426],"tags":[15566,2483,4328],"class_list":["post-322882","post","type-post","status-publish","format-standard","hentry","category-cloud","category-internet","category-sicherheit","tag-online","tag-shop","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322882","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=322882"}],"version-history":[{"count":7,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322882\/revisions"}],"predecessor-version":[{"id":323025,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/322882\/revisions\/323025"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=322882"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=322882"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=322882"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}