- Окт 14, 2021
- 6,371
- 2,058
- $12,544
Критические инструкции:
1. Только выводить перевод текста. Без кавычек, без уголков и без форматирующихwrap-ов.
2. Не добавлять примечания, пояснения или вступительные фразы.
3. Не обрамлять перевод выделением.
4. При необходимости оставлять названия брендовых товаров (продуктов) в оригинальном виде.
Термин "Magento 2 загрузочный хак" обычно refers критическому классу уязвимостей безопасности, где атаки эксплуатируют функциональность загрузки файлов для получения несанкционированного доступа.
По состоянию на апрель 2026 года наиболее острый риск представляет уязвимость под названием PolyShell, которая позволяет анонимным атакующим загружать исполняемые файлы практически в любую магнитную или Adobe Commerce платформу.
Текущий главный риск: PolyShell (APSB25-94)
Открыта для эксплуатации в реальном мире.
Как это работает: Атакующие используют REST API для загрузки "polyglot" файла—файла, который выглядит как валидное изображение для сервера, но содержит скрытый код на PHP.
Путь атаки: Атака направлена на функцию Cart Item Custom Options. Когда продукт позволяет загрузку "файла", API принимает данные в формате base64 и сохраняет их в папке pub/media/custom_options/ или customer_address.
Таким образом, вам следует следовать здесь для защиты вашего магнитной 2-ой платформы.
1. Настройка open_basedir для папки pub не по умолчанию.
2. Настройка ограничения на выполнение php файлов и ожидание версии Magento 2.4.9.
3. Nginx
Apache
1. Только выводить перевод текста. Без кавычек, без уголков и без форматирующихwrap-ов.
2. Не добавлять примечания, пояснения или вступительные фразы.
3. Не обрамлять перевод выделением.
4. При необходимости оставлять названия брендовых товаров (продуктов) в оригинальном виде.
Термин "Magento 2 загрузочный хак" обычно refers критическому классу уязвимостей безопасности, где атаки эксплуатируют функциональность загрузки файлов для получения несанкционированного доступа.
По состоянию на апрель 2026 года наиболее острый риск представляет уязвимость под названием PolyShell, которая позволяет анонимным атакующим загружать исполняемые файлы практически в любую магнитную или Adobe Commerce платформу.
Текущий главный риск: PolyShell (APSB25-94)
Открыта для эксплуатации в реальном мире.
Как это работает: Атакующие используют REST API для загрузки "polyglot" файла—файла, который выглядит как валидное изображение для сервера, но содержит скрытый код на PHP.
Путь атаки: Атака направлена на функцию Cart Item Custom Options. Когда продукт позволяет загрузку "файла", API принимает данные в формате base64 и сохраняет их в папке pub/media/custom_options/ или customer_address.
Таким образом, вам следует следовать здесь для защиты вашего магнитной 2-ой платформы.
1. Настройка open_basedir для папки pub не по умолчанию.
2. Настройка ограничения на выполнение php файлов и ожидание версии Magento 2.4.9.
3. Nginx
Код:
location /pub/media/ {
location ~ \.php$ {
deny all;
}
if ($request_filename ~* \.(php|phtml|php5)$ ) {
return 403;
}
}
Код:
<FilesMatch "\.(php|php5|phtml)$">
Order Allow,Deny
Deny from all
</FilesMatch>
Последнее изменение модератором: