Magento这回真捅了大篓子。荷兰安全公司Sansec甩出一枚重磅炸弹:Magento REST API存在严重文件上传漏洞,攻击者不用登录就能扔任意文件上去,直接搞远程代码执行或者账号接管。漏洞代号PolyShell,名字起得挺骚——核心玩法是把恶意代码伪装成图片,骗过系统检查。
具体怎么玩?产品自定义选项里有个“file”类型,顾客上传文件时,Magento会把base64编码的内容、MIME类型和文件名一起塞进来,然后老老实实写到服务器的pub/media/custom_options/quote/目录下。问题出在这儿:官方压根没限制文件类型和后缀。只要web服务器配置允许,攻击者就能上传.php文件,之后直接访问触发执行。或者扔个带XSS的HTML,存下来偷管理员cookie,实现账号接管。杀伤力直接拉满。
受影响范围很广,所有Magento Open Source和Adobe Commerce版本,只要没升到2.4.9-alpha2之后的预发布分支,全中招。Adobe其实已经在APSB25-94里修了,但只修了预发布版,线上主流生产版本目前没独立补丁。官方给的示例配置能挡一部分,但现实很骨感——大部分商家用的都是主机商提供的自定义配置,哪有那么严谨。
Sansec直言不讳:光封目录访问没用,上传通道照样开着。除非上专门的WAF规则,否则恶意文件还是能进来。补救措施听起来简单,做起来烦:赶紧限制pub/media/custom_options/目录的访问权限,用nginx或Apache规则卡死;然后全站扫一遍webshell、后门和已知恶意代码。做完这些也只是把风险降下来,治标不治本。
更扎心的是,这事儿不是孤立事件。就在漏洞曝光前没几天,Netcraft已经盯上另一波针对Magento的大规模网站挂马+改主页行动。从2月27日开始,全球大约7500个域名、1.5万个主机名被攻破,扔的全是明文defacement txt文件。Asus、FedEx、Fiat、Lindt、Toyota、Yamaha这些大牌的电商或相关基础设施都躺枪。攻击者到底用了哪个洞或者单纯配置失误,现在还没定论,但时间点这么巧,很难不让人往PolyShell身上联想。
The Hacker News已经去问Netcraft有没有关联,暂时没回音。只能说,2026年开年Magento商家就先被教育了一课:REST API随便开,文件上传不卡类型,后果不是开玩笑。
币圈这边风平浪静,BTC现报$70,515(24h +0.94%),ETH现报$2,146(24h +0.47%),主流公链都没太大动作。倒是传统电商安全这块,漏洞一爆一个准,商家服务器要是跑着老版本Magento,又没做严格访问控制,估计已经有人在后台挖矿或者刷单了。
Sansec这次披露够狠,直接把问题摆上台面:Adobe修得慢,社区补丁又没跟上,商家只能自己硬扛。想活命,先把上传目录锁死,再扫一遍服务器。别等黑产把你的店变成肉鸡,才后悔没早点重视。加密圈的人天天盯着链上数据,传统web安全这块,真的别不当回事——一波0day下来,钱包再多也救不回被清空的数据库。