荷兰安全公司Sansec发出警告,Magento的REST API存在一个严重安全漏洞,可能让未经身份验证的攻击者上传任意可执行文件,并实现代码执行和账户接管。
该漏洞被Sansec命名为PolyShell,因为攻击方式是将恶意代码伪装成图像文件。目前没有证据表明该漏洞已在实际攻击中被利用。这个不受限制的文件上传漏洞影响所有Magento开源版本和Adobe Commerce版本,直至2.4.9-alpha2版本。
安全公司表示,问题源于Magento的REST API接受文件上传作为购物车项目自定义选项的一部分。当产品选项类型为文件时,Magento会处理一个嵌入的file_info对象,其中包含base64编码的文件数据、MIME类型和文件名。文件会被写入服务器的pub/media/custom_options/quote/目录。
根据Web服务器配置的不同,该漏洞可能通过PHP上传实现远程代码执行,或通过存储型XSS实现账户接管。
Sansec指出,Adobe已在2.4.9预发布分支中作为APSB25-94的一部分修复了这个问题,但目前的生产版本还没有单独的补丁。虽然Adobe提供了示例Web服务器配置来限制影响,但大多数商店使用来自托管提供商的自定义配置。
为了缓解潜在风险,电子商务网站建议执行以下步骤:限制对上传目录pub/media/custom_options/的访问权限;验证nginx或Apache规则阻止对该目录的访问;扫描商店中的Web shell、后门和其他恶意软件。
Sansec强调,阻止访问并不能阻止上传,如果没有使用专门的Web应用防火墙,用户仍然能够上传恶意代码。
与此同时,网络安全公司Netcraft发现了一个正在进行的攻击活动,涉及数千个Magento电子商务网站的入侵和篡改,涵盖多个行业和地区。该活动始于2026年2月27日,威胁行为者将纯文本文件上传到可公开访问的Web目录。
安全研究员Gina Chow表示,攻击者在大约15000个主机名和7500个域名上部署了篡改文本文件,包括与知名全球品牌、电子商务平台和政府服务相关的基础设施。受影响的基础设施包括华硕、联邦快递、菲亚特、瑞士莲、丰田和雅马哈等多个全球知名品牌。
目前尚不清楚这些攻击是否利用了特定的Magento漏洞或配置错误,以及是否为单一威胁行为者所为。相关安全专家正在调查这次攻击活动是否与PolyShell漏洞有关联。
A:PolyShell是Magento REST API中的一个严重安全漏洞,攻击者可以通过将恶意代码伪装成图像文件来上传任意可执行文件。该漏洞可能导致远程代码执行和账户接管,影响所有Magento开源版本和Adobe Commerce版本直至2.4.9-alpha2。
A:建议电子商务网站限制对上传目录pub/media/custom_options/的访问权限,验证nginx或Apache规则阻止目录访问,并扫描商店中的恶意软件。同时需要注意,仅阻止访问无法完全阻止上传,最好使用专门的Web应用防火墙。
A:是的,Netcraft发现了一个大规模攻击活动,影响约15000个主机名和7500个域名的Magento网站,包括华硕、联邦快递、丰田等知名品牌的基础设施。攻击者上传篡改文件到可公开访问的目录,但目前尚不确定是否与PolyShell漏洞相关。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
江苏一男子给准儿媳18万8创业,儿子分手后要求其返还钱款;女方称系合伙创业资金,并非彩礼,且从未同意以结婚为前提接受转账;法院判了
男子花1880元买了单依纯深圳演唱会门票,因列车晚点错过,申请大麦退票被拒后又称可全额退款;大麦:与主办方进行沟通,已退款
vivo黄韬谈X300 Ultra:探索专业相机形态、向用户真实需求倾斜
苹果将为未升级iOS 26的用户更新iOS 18,修复DarkSword高危漏洞
部分用户反馈升级苹果iOS 26.4后,Apple Music遭遇“闪光弹”
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
