荷兰安全公司Sansec发出警告,Magento的REST API存在一个严重安全漏洞,可能让未经身份验证的攻击者上传任意可执行文件,并实现代码执行和账户接管。
PolyShell漏洞详细分析
该漏洞被Sansec命名为PolyShell,因为攻击方式是将恶意代码伪装成图像文件。目前没有证据表明该漏洞已在实际攻击中被利用。这个不受限制的文件上传漏洞影响所有Magento开源版本和Adobe Commerce版本,直至2.4.9-alpha2版本。
安全公司表示,问题源于Magento的REST API接受文件上传作为购物车项目自定义选项的一部分。当产品选项类型为"文件"时,Magento会处理一个嵌入的file_info对象,其中包含base64编码的文件数据、MIME类型和文件名。文件会被写入服务器的pub/media/custom_options/quote/目录。
根据Web服务器配置的不同,该漏洞可能通过PHP上传实现远程代码执行,或通过存储型XSS实现账户接管。
修复方案和缓解措施
Sansec指出,Adobe已在2.4.9预发布分支中作为APSB25-94的一部分修复了这个问题,但目前的生产版本还没有单独的补丁。虽然Adobe提供了示例Web服务器配置来限制影响,但大多数商店使用来自托管提供商的自定义配置。
为了缓解潜在风险,电子商务网站建议执行以下步骤:限制对上传目录"pub/media/custom_options/"的访问权限;验证nginx或Apache规则阻止对该目录的访问;扫描商店中的Web shell、后门和其他恶意软件。
Sansec强调,阻止访问并不能阻止上传,如果没有使用专门的Web应用防火墙,用户仍然能够上传恶意代码。
相关安全事件
与此同时,网络安全公司Netcraft发现了一个正在进行的攻击活动,涉及数千个Magento电子商务网站的入侵和篡改,涵盖多个行业和地区。该活动始于2026年2月27日,威胁行为者将纯文本文件上传到可公开访问的Web目录。
安全研究员Gina Chow表示,攻击者在大约15000个主机名和7500个域名上部署了篡改文本文件,包括与知名全球品牌、电子商务平台和政府服务相关的基础设施。受影响的基础设施包括华硕、联邦快递、菲亚特、瑞士莲、丰田和雅马哈等多个全球知名品牌。
目前尚不清楚这些攻击是否利用了特定的Magento漏洞或配置错误,以及是否为单一威胁行为者所为。相关安全专家正在调查这次攻击活动是否与PolyShell漏洞有关联。
Q&A
Q1:PolyShell漏洞是什么?它有多严重?
A:PolyShell是Magento REST API中的一个严重安全漏洞,攻击者可以通过将恶意代码伪装成图像文件来上传任意可执行文件。该漏洞可能导致远程代码执行和账户接管,影响所有Magento开源版本和Adobe Commerce版本直至2.4.9-alpha2。
Q2:如何防护PolyShell漏洞攻击?
A:建议电子商务网站限制对上传目录"pub/media/custom_options/"的访问权限,验证nginx或Apache规则阻止目录访问,并扫描商店中的恶意软件。同时需要注意,仅阻止访问无法完全阻止上传,最好使用专门的Web应用防火墙。
Q3:Magento最近还有其他安全威胁吗?
A:是的,Netcraft发现了一个大规模攻击活动,影响约15000个主机名和7500个域名的Magento网站,包括华硕、联邦快递、丰田等知名品牌的基础设施。攻击者上传篡改文件到可公开访问的目录,但目前尚不确定是否与PolyShell漏洞相关。
