Magento PolyShell漏洞引发严重安全威胁，可导致远程代码执行

荷兰安全公司Sansec发出警告，Magento的REST API存在一个严重安全漏洞，可能让未经身份验证的攻击者上传任意可执行文件，并实现代码执行和账户接管。

PolyShell漏洞详细分析

该漏洞被Sansec命名为PolyShell，因为攻击方式是将恶意代码伪装成图像文件。目前没有证据表明该漏洞已在实际攻击中被利用。这个不受限制的文件上传漏洞影响所有Magento开源版本和Adobe Commerce版本，直至2.4.9-alpha2版本。

安全公司表示，问题源于Magento的REST API接受文件上传作为购物车项目自定义选项的一部分。当产品选项类型为"文件"时，Magento会处理一个嵌入的file_info对象，其中包含base64编码的文件数据、MIME类型和文件名。文件会被写入服务器的pub/media/custom_options/quote/目录。

根据Web服务器配置的不同，该漏洞可能通过PHP上传实现远程代码执行，或通过存储型XSS实现账户接管。

修复方案和缓解措施

Sansec指出，Adobe已在2.4.9预发布分支中作为APSB25-94的一部分修复了这个问题，但目前的生产版本还没有单独的补丁。虽然Adobe提供了示例Web服务器配置来限制影响，但大多数商店使用来自托管提供商的自定义配置。

为了缓解潜在风险，电子商务网站建议执行以下步骤：限制对上传目录"pub/media/custom_options/"的访问权限；验证nginx或Apache规则阻止对该目录的访问；扫描商店中的Web shell、后门和其他恶意软件。

Sansec强调，阻止访问并不能阻止上传，如果没有使用专门的Web应用防火墙，用户仍然能够上传恶意代码。

相关安全事件

与此同时，网络安全公司Netcraft发现了一个正在进行的攻击活动，涉及数千个Magento电子商务网站的入侵和篡改，涵盖多个行业和地区。该活动始于2026年2月27日，威胁行为者将纯文本文件上传到可公开访问的Web目录。

安全研究员Gina Chow表示，攻击者在大约15000个主机名和7500个域名上部署了篡改文本文件，包括与知名全球品牌、电子商务平台和政府服务相关的基础设施。受影响的基础设施包括华硕、联邦快递、菲亚特、瑞士莲、丰田和雅马哈等多个全球知名品牌。

目前尚不清楚这些攻击是否利用了特定的Magento漏洞或配置错误，以及是否为单一威胁行为者所为。相关安全专家正在调查这次攻击活动是否与PolyShell漏洞有关联。

Q&A

Q1：PolyShell漏洞是什么？它有多严重？

A：PolyShell是Magento REST API中的一个严重安全漏洞，攻击者可以通过将恶意代码伪装成图像文件来上传任意可执行文件。该漏洞可能导致远程代码执行和账户接管，影响所有Magento开源版本和Adobe Commerce版本直至2.4.9-alpha2。

Q2：如何防护PolyShell漏洞攻击？

A：建议电子商务网站限制对上传目录"pub/media/custom_options/"的访问权限，验证nginx或Apache规则阻止目录访问，并扫描商店中的恶意软件。同时需要注意，仅阻止访问无法完全阻止上传，最好使用专门的Web应用防火墙。

Q3：Magento最近还有其他安全威胁吗？

A：是的，Netcraft发现了一个大规模攻击活动，影响约15000个主机名和7500个域名的Magento网站，包括华硕、联邦快递、丰田等知名品牌的基础设施。攻击者上传篡改文件到可公开访问的目录，但目前尚不确定是否与PolyShell漏洞相关。