文章总结： MagentoRESTAPI存在名为PolyShell的严重文件上传漏洞，攻击者通过将PHP代码伪装成GIF图像绕过安全过滤，实现未授权远程代码执行。该漏洞自2026年3月19日起被大规模利用，可导致客户数据窃取、恶意脚本注入等风险。目前Adobe仅在预发布版本中修复，建议用户扫描上传目录、验证服务器配置并监控API流量。 综合评分： 85 文章分类： 漏洞分析,WEB安全,威胁情报,应急响应,应用安全

PolyShell 警报：Magento REST API 严重漏洞面临大规模全球利用

sec随谈 sec随谈

sec随谈

2026年3月25日 08:52 北京

在小说阅读器读本章

去阅读

Magento REST API 中的一个严重安全漏洞目前正被网络犯罪分子利用，在全球范围内劫持电商平台。Sansec 的研究人员发现了一个被他们命名为“PolyShell”的漏洞，之所以这样命名，是因为该攻击利用了一种“多语言”技术——将恶意代码伪装成无害的图像文件。

威胁迫在眉睫且不断升级。截至2026年3月23日，Sansec公司“观察到自3月19日以来一直存在活跃的攻击活动，自动化大规模扫描正在迅速加速”。

PolyShell 利用了Magento 2 第一个版本就存在的不受限制的文件上传漏洞。通过向 REST API 发送特制的请求，未经身份验证的攻击者可以将可执行的 PHP 代码上传到目标商店。

为了绕过可能阻止 .php 文件的安全过滤器，攻击者会将脚本伪装成图像。一种常见的变种是在 PHP shell 脚本前添加标准的 GIF 头部 GIF89a。这种“多语言”伪装使得某些系统可以将该文件视为图像，同时 Web 服务器仍然可以完全执行该文件。

文件一旦上传到服务器，攻击者的目标就是远程代码执行（RCE）。“未经身份验证的攻击者可以将可执行文件上传到任何存储位置”，然后这些文件可用于投放持久性Webshell。

这些外壳程序通常充当永久性后门，允许攻击者：

• 窃取客户数据：在结账时拦截支付信息和个人详细信息。
• 注入恶意脚本：将信用卡盗刷器（Magecart）直接部署到店铺前端。
• 系统完全入侵：执行操作系统命令，进一步渗透到宿主环境中。

攻击者目前使用各种各样的文件名来隐藏这些 shell，从 index.php 到混淆的 Unicode 字符串，例如 \u0062\u0079\u0070\u0061\u0073\u0073.\u0070\u0068\u0070。

PolyShell 最令人担忧的地方在于，大多数用户都无法获得正式的修复方案。虽然 Adobe 在预发布版本 (2.4.9-alpha3+) 中修复了该漏洞，但“目前正式版尚无单独的补丁”。

此外，即使服务器配置为阻止执行上传目录中的文件，风险依然存在。“上传的文件会保留在磁盘上。未来的配置更改、服务器迁移或Web服务器更换都可能使其暴露出来，”Sansec警告说。

在 Adobe 发布官方补丁之前，商店所有者必须采取积极措施来加强其环境的安全防护：

1. 审核上传目录：扫描您的媒体和上传文件夹，查找可疑的 PHP 文件或包含 PHP 代码的“图像”。
2. 验证 Web 服务器配置：确保您的 Web 服务器（Nginx 或 Apache）已明确配置为不在存储用户上传文件的任何目录中执行 PHP。
3. 监控 REST API 流量：查找对文件上传端点的异常 POST 请求，特别是来自未知 IP 地址的请求。

参考链接：

https://sansec.io/research/magento-polyshell

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《PolyShell 警报：Magento REST API 严重漏洞面临大规模全球利用》