文章总结： PolyShell高危漏洞影响所有Magento和AdobeCommerce2系列电商系统，攻击者无需认证即可通过RESTAPI文件上传功能实现远程代码执行或会话劫持。Adobe仅向测试版提供补丁，正式版仍处高危状态。建议立即限制pub/media/custom_options/目录访问、加固Web服务器配置并扫描清除恶意文件。 综合评分： 82 文章分类： 漏洞分析,应急响应,解决方案,WEB安全,应用安全

PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行

胡金鱼 胡金鱼

嘶吼专业版

2026年4月3日 14:02 北京

近期，一则名为“PolyShell”的高危新型漏洞被公开披露，该安全漏洞影响所有Magento开源版与Adobe Commerce 2系列稳定版电商系统，攻击者无需登录身份认证，即可远程执行恶意代码、窃取接管管理员账号权限。

目前安全监测暂未捕获野外大规模实战挖矿勒索攻击，但Sansec紧急预警：完整漏洞攻击利用链已在地下黑产圈层流通扩散，自动化批量扫描爆破攻击或将很快全面爆发。

Adobe官方虽已紧急推送安全修复补丁，但该补丁仅内嵌于2.4.9版本第二轮Alpha测试预览版，正式商用生产稳定版暂未迭代更新，全网大量在线运营商城仍处于高危未防护裸奔状态。

Sansec补充说明，Adobe同步提供简易Web服务器防护配置模板，可大幅限制漏洞攻击危害扩散范围，但绝大多数中小企业商城均直接沿用云主机服务商默认一键建站配置，无自定义加固能力。

据Sansec发布的分析报告表示：Magento电商平台REST API接口，在处理购物车商品自定义附加选项时，违规开放恶意文件上传高危权限。

安全研究员拆解攻击原理：“当商品自定义选项设定为‘文件上传’类型时，系统会默认解析内嵌file_info数据包，自动解码Base64加密恶意文件载荷、识别伪造MIME资源类型、读取伪装文件名，最终直接落地写入服务器 pub/media/custom_options/quote/公开可访问目录。”

本次高危漏洞命名“PolyShell”，核心特征为攻击者上传多格式兼容恶意文件，该文件既可伪装成常规图片绕过安全检测，又能解析执行后台恶意脚本后门。

漏洞实际危害严重依赖服务器Web环境配置，通杀两大高危攻击链：轻则实现远程代码执行（RCE）接管服务器权限，重则植入存储型XSS恶意脚本劫持管理员后台会话Cookie，一键窃取全站账号权限，Sansec抽样全网监测显示，绝大多数商城默认配置均暴露上传目录高危风险。

在Adobe正式推送商用生产版安全补丁前，安全研究员建议商城运维管理员立即落地三大临时应急加固防护措施：

1. 严格限制封禁pub/media/custom_options/目录外网直接访问权限；

2. 深度核查Nginx/Apache核心防护规则，确认目录拦截策略永久生效；

3. 全盘深度扫描服务器目录，排查清除已上传恶意网页后门、木马挖矿程序及各类窃听恶意软件。

参考及来源：https://www.bleepingcomputer.com/news/security/new-polyshell-flaw-allows-unauthenticated-rce-on-magento-e-stores/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：嘶吼专业版 胡金鱼 胡金鱼《PolyShell高危漏洞可致电商Magento系统遭遇未授权远程代码执行》