PolyShell漏洞被利用:黑客攻击大量电商网站
网络安全公司Sansec披露,黑客正在利用名为PolyShell的漏洞,大规模攻击运行Magento或Adobe Commerce平台的电商网站。该漏洞允许攻击者在Magento的API中植入信用卡盗刷器,窃取用户支付信息。据Sansec称,漏洞公开后仅一周,已有56%的易受攻击网站遭遇攻击。
该漏洞影响范围广泛,已发现被用于攻击一家未具名的“大型汽车制造商”。Sansec指出,Magento为开源电商平台,多年前被Adobe收购。目前Adobe已在软件测试版(beta branch)中发布修复方案,但大多数网站仍在使用非测试版,因此尚未获得保护。
Adobe尚未对此事件作出公开回应。网络安全专家警告,所有运行Magento或Adobe Commerce的网站在官方修复方案发布前均面临风险。用户在访问相关电商网站时应保持警惕,避免在未确认安全的平台输入敏感支付信息。
网络安全公司建议相关企业尽快升级至最新版本,或采取临时防护措施,如监控API异常行为、加强日志审计等,以降低被攻击风险。
编辑点评
PolyShell漏洞的暴露凸显了开源软件生态中安全维护的脆弱性。尽管Adobe已提供测试版修复,但多数企业因版本兼容性或部署流程延迟而未能及时更新,这反映了软件供应链管理中的现实挑战。此次事件不仅威胁用户支付安全,也可能对受影响企业的品牌信誉造成长期损害。从全球视角看,电商安全直接关联数字经济的稳定性,尤其在跨境电商日益普及的背景下,类似漏洞可能被用于跨区域攻击,影响多国消费者和商业主体。未来,企业需加强安全响应机制,同时监管机构或可推动强制性安全更新标准,以减少此类风险。