在Adobe每月的例行更新中，电商平台Adobe Commerce与Magento Open Source（以下简称Magento）的相关漏洞，经常是该公司呼吁用户优先处理的重点。近日，一家安全公司指出，Adobe近期对预览版本修复的漏洞，其利用方法已在网络上传播，可能演变为大规模自动化攻击。

安全公司Sansec近日披露了一个名为PolyShell的安全漏洞，攻击者可利用Adobe Commerce与Magento的REST API上传恶意文件并植入后门，从而完全控制电商网站。值得注意的是，Adobe目前仅在预览版本2.4.9-alpha3中修复了该漏洞，尚未为正式版本发布补丁。尽管目前尚未发现该漏洞被实际利用的案例，但由于利用方法已在传播，未来可能爆发自动化攻击，Sansec呼吁网站管理员必须尽快采取应对措施。

PolyShell并非单一漏洞，而是涉及无限制文件上传、存储型跨站脚本（Stored XSS）以及通过上传PHP代码实现远程代码执行（RCE）等多个问题。相关缺陷代码早在Magento 2的早期版本中就已存在。攻击者通常利用Magento内置的自定义选项（Custom Options）功能上传恶意文件，最终在服务器上执行任意代码。

此类攻击的危险之处在于，其行为看似合法操作，容易绕过传统安全防护机制。攻击者可将恶意代码伪装成正常文件，如图片或附件，在系统未进行严格验证的情况下成功上传。

尽管Adobe已提供了Web服务器配置指南，有助于减轻PolyShell漏洞的影响，但Sansec调查发现，由于大多数电商网站采用主机服务商的专属配置，许多平台的上传目录文件直接暴露在互联网上，存在泄露风险。即使网站管理员禁用了文件执行权限，由于上传的恶意文件仍会保留在磁盘中，未来无论更改设置、迁移服务器，还是更换Web服务器，都可能因电商平台的访问控制机制不够严密而持续暴露风险。