Magento的REST API被曝出一个叫PolyShell的严重安全漏洞,攻击者能把恶意代码藏在图像里上传,进而执行代码或接管账户。荷兰公司Sansec警告说,这个漏洞没被证据证明已在实战中用。它不仅影响Magento开源版,还波及Adobe Commerce,直到2.4.9-alpha2版本。 漏洞出在Magento允许文件上传作为购物车选项的时候。当选项类型是“文件”,系统会处理一个带Base64编码数据的file_info对象,这就让文件能被写入pub/media/custom_options/quote目录。根据服务器配置,这可能导致PHP远程执行代码或账户被XSS攻击。 Adobe已经在2.4.9预发布分支的APSB25-94里修好了这问题,但正式版还没单独补丁。为了减少风险,商家可以给pub/media/custom_options/目录加权限限制,用Nginx或Apache规则拦着访问,再去扫店看有没有Web shell或后门。Sansec强调光拦着没用,最好还是用Web应用防火墙。 跟这个漏洞发生在同一时间(也就是2026年2月),Netcraft那边也发现了一个大动静。他们追踪到一个正在进行的入侵活动,攻击者给几千个Magento网站塞进去了文本文件。这场由Gina Chow披露的攻击从2026年2月27日就开始了,威胁者把东西放在了可公开访问的目录里。 受影响的不只是小商家。这次行动里大约有15000个主机名和7500个域名被篡改了内容。像华硕、联邦快递、菲亚特、瑞士莲、丰田和雅马哈这些知名品牌的基础设施都在其中。现在还没搞清楚他们是用了特定的漏洞还是配置错误干的。 相关专家正在查这次攻击是不是和PolyShell有关。对于防范,Q1的答案是PolyShell是个能让攻击者伪装上传恶意代码的漏洞;Q2建议先给目录加权限再搞防火墙;Q3提到的是2026年2月有个大规模入侵事件发生。