أصدرت شركة الأمن الهولندية Sansec تحذيراً بشأن ثغرة أمنية خطيرة في واجهة برمجة تطبيقات REST الخاصة بمنصة التجارة الإلكترونية Magento، قد تمكّن المهاجمين غير المصرح لهم من رفع ملفات تنفيذية عشوائية، ما يؤدي إلى تنفيذ أوامر عن بُعد (RCE) أو الاستيلاء على حسابات المستخدمين. الثغرة أُطلق عليها اسم PolyShell لأنها تعتمد على إخفاء الشيفرة الخبيثة داخل صورة، وتؤثر على جميع إصدارات Magento Open Source وAdobe Commerce حتى الإصدار 2.4.9-alpha2.
تفاصيل الثغرة وآلية الاستغلال
تعود المشكلة إلى أن واجهة Magento REST API تسمح برفع ملفات ضمن خيارات المنتج، حيث تتم معالجة كائن file_info الذي يحتوي على بيانات مشفرة بـ base64، ونوع MIME، واسم الملف. يتم حفظ الملف في مجلد pub/media/custom_options/quote/ على الخادم.
اعتماداً على إعدادات الخادم، يمكن أن تؤدي هذه الثغرة إلى تنفيذ أوامر عبر رفع ملفات PHP، أو إلى الاستيلاء على الحسابات عبر هجمات XSS المخزنة. ورغم أن Adobe أصلحت المشكلة في فرع الإصدار التجريبي 2.4.9 ضمن التحديث الأمني APSB25-94، إلا أن الإصدارات الحالية لا تزال بلا ترقيع منفصل.
توصيات الحماية والإجراءات الوقائية
أوصت Sansec أصحاب المتاجر الإلكترونية باتخاذ خطوات عاجلة لتقليل المخاطر، منها:
- تقييد الوصول إلى مجلد الرفع pub/media/custom_options/.
- التأكد من أن قواعد Nginx أو Apache تمنع الوصول إلى هذا المجلد.
- فحص المتاجر بحثاً عن web shells أو أبواب خلفية أو برمجيات خبيثة.
- استخدام جدار حماية تطبيقات الويب (WAF) متخصص، إذ أن حجب الوصول لا يمنع عملية الرفع نفسها.
خلفية عن الهجمات المرتبطة بـ Magento
يأتي هذا التحذير في وقت رصدت فيه شركة Netcraft حملة مستمرة منذ 27 فبراير 2026، تضمنت اختراق وتشويه آلاف مواقع Magento عبر رفع ملفات نصية إلى مجلدات عامة. الحملة شملت نحو 15 ألف اسم مضيف موزعة على 7,500 نطاق، بينها بنى تحتية مرتبطة بعلامات تجارية عالمية مثل Asus وFedEx وFiat وLindt وToyota وYamaha، إضافة إلى منصات حكومية وخدمات إلكترونية.
الباحثة الأمنية جينا تشاو أوضحت أن المهاجمين نشروا ملفات نصية للتشويه عبر هذه المواقع، لكن لم يتضح بعد ما إذا كانت الهجمات مرتبطة مباشرة بثغرة PolyShell أو ناجمة عن سوء إعدادات في الخوادم. التحقيقات لا تزال جارية لتحديد العلاقة بين الحملة والثغرة المكتشفة.
هذا التطور يسلط الضوء على خطورة الثغرات في منصات التجارة الإلكترونية، حيث أن أي خلل في آليات رفع الملفات قد يتحول إلى بوابة مفتوحة أمام المهاجمين لتنفيذ أوامر خبيثة أو الاستيلاء على بيانات العملاء، وهو ما يهدد الثقة في البنية التحتية الرقمية للمتاجر العالمية.
