Sansec 警告稱，Magento 的 REST API 存在一個嚴重的安全漏洞，未經身份驗證的攻擊者可能利用該漏洞上傳任意可執行文件，從而實現程式碼執行和帳戶接管。由於該攻擊依賴將惡意程式碼偽裝成映像，因此 Sansec 將此漏洞命名為PolyShell 。目前尚無證據顯示該漏洞已被實際利用。此不受限制的檔案上傳漏洞會影響 Magento 開源版和 Adobe Commerce 2.4.9-alpha2 及更早版本。

這家荷蘭安全公司表示，問題源自於 Magento 的 REST API 接受檔案上傳作為購物車商品自訂選項的一部分。該公司表示「當產品選項類型為『檔案』時，Magento 會處理一個嵌入式 file_info 對象，其中包含 base64 編碼的檔案資料、MIME 類型和檔案名，該檔案會寫入伺服器上的 pub/media/custom_options/quote/ 目錄。」

根據 Web 伺服器配置的不同，該漏洞可以透過 PHP 上傳實現遠端程式碼執行，或透過儲存型 XSS 實現帳戶接管。Sansec 也指出，Adobe 在 2.4.9 預發布分支中修復了問題（作為APSB25-94的一部分），但目前的生產版本沒有單獨的修補程式。為降低潛在風險，建議電子商務平台採取以下步驟—：

✓  限制對上傳目錄（“pub/media/custom_options/”）的存取。

✓  確認 nginx 或 Apache 規則是否阻止了對該目錄的存取。

✓  掃描應用程式商店，尋找 Web Shell、後門和其他惡意軟體。

Sansec表示：「阻止存取並不會阻止上傳，所以如果您不使用專門的WAF（Web應用程式防火牆），人們仍然能夠上傳惡意程式碼。」

資料來源：https://thehackernews.com/2026/03/magento-polyshell-flaw-enables.html