أصدر مطورو إطار العمل AdonisJS تحذيراً عاجلاً لمستخدمي مكتبة @adonisjs/bodyparser بعد اكتشاف ثغرة أمنية بالغة الخطورة مصنفة بدرجة CVSS 9.2. الثغرة، التي تحمل الرمز CVE-2026-21440، تتعلق بآلية معالجة الملفات متعددة الأجزاء (multipart file handling) داخل المكتبة، وتسمح للمهاجمين بتنفيذ هجمات Path Traversal تمكنهم من كتابة ملفات في مسارات غير مصرح بها على الخادم. المشكلة تكمن في الدالة MultipartFile.move(location, options)، حيث يؤدي غياب المعاملات الخاصة بالاسم أو عدم تعقيم اسم الملف إلى اعتماد اسم الملف القادم من العميل بشكل مباشر، مما يفتح الباب أمام المهاجم لتحديد مسارات حساسة وكتابة ملفات فيها، بل وحتى استبدال ملفات قائمة إذا كان خيار overwrite مفعلاً.
احتمالية الوصول إلى تنفيذ أوامر عن بُعد
رغم أن الاستغلال يتطلب وجود نقطة رفع ملفات قابلة للوصول، إلا أن خطورة الثغرة تكمن في إمكانية استبدال ملفات حيوية مثل أكواد التطبيق أو ملفات الإعدادات أو سكربتات التشغيل. في حال نجاح المهاجم في ذلك، قد يؤدي الأمر إلى تنفيذ أوامر عن بُعد (RCE) على الخادم، وهو ما يعتمد على صلاحيات نظام الملفات وطبيعة نشر التطبيق. المطورون أكدوا أن الثغرة تم إصلاحها في الإصدارات 10.1.2 و 11.0.0-next.6، بينما تبقى الإصدارات الأقدم معرضة للخطر.
ثغرة مشابهة في مكتبة jsPDF
تزامن هذا الاكتشاف مع إعلان ثغرة أخرى في مكتبة jsPDF الخاصة بإنشاء ملفات PDF عبر جافاسكريبت، والمصنفة أيضاً بدرجة خطورة CVSS 9.2 تحت الرمز CVE-2025-68428. هذه الثغرة تسمح بتمرير مسارات غير معقمة للوصول إلى محتويات ملفات عشوائية في النظام المحلي الذي يعمل عليه Node.js. تم إصلاح المشكلة في الإصدار 4.0.0 الصادر في 3 يناير 2026، مع توصية باستخدام خيار –permission لتقييد الوصول إلى نظام الملفات. الباحث Kwangwoon Kim كان وراء الإبلاغ عن هذه الثغرة، فيما أكدت شركة Parallax المطورة للمكتبة أن التأثير يقتصر على نسخ Node.js فقط.
تداعيات على بيئة تطوير التطبيقات
تكشف هذه الثغرات المتزامنة عن هشاشة بعض المكتبات مفتوحة المصدر التي يعتمد عليها مطورو التطبيقات بشكل واسع. فبينما توفر هذه الأدوات مرونة وسرعة في بناء التطبيقات، إلا أن أي ثغرة غير مكتشفة قد تتحول إلى بوابة لهجمات واسعة النطاق. التحذيرات الأخيرة تؤكد ضرورة التحديث المستمر للمكتبات، وتطبيق أفضل ممارسات الأمن السيبراني مثل تعقيم مدخلات المستخدم، وتقييد صلاحيات الملفات، ومراجعة الأكواد بشكل دوري. كما أن الاعتماد على مكتبات خارجية يجب أن يقترن بوعي أمني عميق لتفادي المخاطر المحتملة.
