Adobe電商平臺存在資安漏洞PolyShell

漏洞簡介

資安公司Sansec指出，Adobe近期對預覽版本Adobe Commerce與Magento修補的資安弱點「PolyShell」，相關攻擊手法已在流傳，有可能演變成大規模自動化攻擊。

攻擊機制

「PolyShell」漏洞被命名為「Polyglot」，攻擊者會使用偽裝成圖片的程式碼（polyglot code）來繞過系統檢測，直接遠端執行惡意指令（RCE），駭客無需猜測帳號密碼，即可直接入侵系統。

影響範圍

• Adobe Commerce（Magento Open Source）相關版本
• 影響範圍涵蓋Adobe Commerce 2.4.9-alpha2及以下版本

Adobe官方回應

Adobe已發布安全更新，針對Adobe Commerce與Magento Open Source解決多項嚴重與重要漏洞，包括可能導致會話劫持與權限提升的問題。

安全建議

有在使用Magento或Adobe Commerce系統的企業，應立即檢查系統版本，並及時升級至最新安全版本，以避免遭駭客利用此漏洞進行帳號劫持或系統控制。

來源：https://www.ithome.com.tw/news/174543