كشفت شركة Sansec المتخصصة في أمان التجارة الإلكترونية عن ثغرة أمنية خطيرة أُطلق عليها اسم "PolyShell"، تؤثر على جميع الإصدارات المستقرة من الإصدار الثاني لمنصتي Magento مفتوحة المصدر وAdobe Commerce. تتيح هذه الثغرة للمهاجمين غير المُصادَق عليهم تنفيذ أكواد ضارة عن بُعد (RCE) والاستيلاء المحتمل على حسابات المسؤولين، مما يشكل تهديداً جسيماً للمتاجر الإلكترونية عالمياً. وفقاً للتقرير، تنشأ الثغرة من ضعف في واجهة برمجة التطبيقات (REST API) الخاصة بـ Magento، والتي تتعامل بشكل غير آمن مع رفع الملفات المرتبطة بخيارات المنتج المخصصة في سلة التسوق. فعندما يكون نوع خيار المنتج هو "file"، يقوم النظام بمعالجة كائن `file_info` مضمن يحتوي على بيانات مشفرة بـ base64 ونوع MIME واسم ملف، ثم يكتب الملف إلى دليل مخصص على الخادم (`pub/media/custom_options/quote/`). يمكن تحويل هذه الآلية، المصممة أصلاً لرفع ملفات العملاء الشرعيين، إلى وسيلة لرفع نصوص برمجية خبيثة.
يشير اسم الثغرة "PolyShell" إلى استخدام ملف "متعدد اللغات" (polyglot) – وهو ملف واحد مُصمم ليتم تفسيره بشكل صحيح كأنواع ملفات متعددة، مثل صورة ونص برمجي PHP في الوقت ذاته. من خلال رفع مثل هذا الملف، يمكن للمهاجم تجاوز فحوصات التحقق من نوع الملف الاعتيادية. تعتمد شدة التأثير – سواء أدى إلى تنفيذ كود عن بُعد كامل أو هجوم أكثر محدودية للتنقل بين المسارات – بشكل كبير على تكوين خادم الويب المحدد (مثل Apache أو Nginx) والإعدادات الأمنية في بيئة الاستضافة. في أسوأ السيناريوهات، يمكن لمهاجم غير مُصادَق عليه الحصول على وصول كامل إلى الخادم (shell)، مما يؤدي إلى اختراق المتجر بالكامل وسرقة بيانات العملاء وحقن برامج ضارة لسرقة بيانات الدفع.
على الرغم من عدم وجود تقارير مؤكدة عن استغلال نشط للثغرة في الوقت الحالي، حذرت Sansec من أن منهجية الاستغلال بدأت تنتشر بالفعل بين الجهات الخبيثة، وتتوقع الشركة أن تبدأ الهجمات الآلية واسعة النطاق ضد متاجر Magento الضعيفة في القريب العاجل. أصدرت Adobe تصحيحاً أمنياً للثغرة، ولكنه متوفر حالياً فقط في الإصدار ألفا الثاني للإصدار القادم 2.4.9، مما يترك جميع الإصدارات الحالية للإنتاج دون تحديث أمني رسمي ومستقر. قدمت Adobe نموذجاً لتكوين خادم الويب يمكن أن يخفف من المخاطر، لكن Sansec أشارت إلى أن معظم مشغلي المتاجر يعتمدون على الإعدادات الافتراضية من موفري الاستضافة وقد لا يطبقون مثل هذه التكوينات المخصصة بسرعة.
يؤكد هذا الكشف على التحديات الأمنية المستمرة في منصات التجارة الإلكترونية المعقدة والأهمية القصوى للدفاعات الطبقة. يُحث مسؤولو المتاجر على مراجعة تكوينات خوادمهم على الفور، مع التركيز على تقييد تنفيذ النصوص البرمجية في أدلة الرفع وتنفيذ تحقق صارم من المدخلات لنقاط نهاية واجهة برمجة التطبيقات. حتى يتم دمج التصحيح الرسمي في الإصدارات المستقرة، يعد مراقبة محاولات رفع الملفات المشبوهة والنظر في تطبيق الحلول المؤقتة، مثل إرشادات التكوين من Adobe، أمراً ضرورياً. يتبع هذا الحادث نمطاً من الثغرات عالية التأثير في سلاسل التوريد الرقمية، كما ظهر مؤخراً في الهجمات على مستودعات الأكواد (مثل هجوم GlassWorm) وغيرها، مما يسلط الضوء على الحاجة إلى الإدارة المستمرة للثغرات وتعزيز الأمان الاستباقي في نظام التجارة الإلكترونية.
