Adobe電商平臺存在資安漏洞PolyShell

資安公司Sansec近日揭露名為PolyShell的資安漏洞，攻擊者可濫用Adobe Commerce與Magento的REST API，上傳惡意檔案並植入後門，進而完全控制電商網站。值得留意的是，Adobe目前僅修補預覽版本2.4.9-alpha3，未對正式版本提供相關更新，儘管現在此漏洞沒出現遭利用的跡象，但由於利用的方法已在流傳，接下來可能會出現自動化攻擊，Sansec呼籲網站管理者，必須儘速採取行動因應。

PolyShell並非單一漏洞，涉及無限制的檔案上傳、儲存型跨網站指令碼（Stored XSS），以及透過上傳PHP程式碼達到遠端程式碼執行（RCE），有問題的程式碼從Magento 2很早期的版本就被引入。攻擊者利用Magento既有功能觸發PolyShell，通常是濫用產品自訂選項（Custom Options）機制上傳惡意檔案，最終在伺服器執行任意程式碼。

這類攻擊的危險之處在於，其行為看似合法操作，容易繞過傳統防護機制。攻擊者可將惡意程式偽裝成正常檔案，例如圖片或附件，在系統未妥善驗證的情況下成功上傳。

儘管Adobe已提供了網頁伺服器配置指南，能減少PolyShell帶來的影響，不過，Sansec調查後發現，由於大部分電商網站採用主機代管公司的專屬配置，許多電商平臺上傳資料夾的檔案都暴露在網際網路而有外洩風險，而且，即便網站管理員封鎖檔案的執行，由於上傳的檔案會留存在磁碟裡，未來不論設定變更、伺服器遷移，或是更換網頁伺服器，都有可能因為電商平臺的存取控制不夠周延而持續曝險。