كشف باحثو الأمن في شركة Sansec عن ثغرة أمنية حرجة، أطلق عليها اسم "PolyShell"، في واجهة برمجة تطبيقات REST الخاصة بمنصتي ماجينتو وأدوبي كوميرس. تُمكّن هذه الثغرة المهاجمين غير المصرح لهم من رفع ملفات تنفيذية عشوائية إلى الخوادم الضعيفة، مما يمهد الطريق لتنفيذ الأوامر عن بُعد (RCE) والاستيلاء الكامل على الحسابات. توجد هذه الثغرة في آلية رفع الملفات الخاصة بخيارات المنتج المخصصة، وتؤثر على جميع إصدارات ماجينتو مفتوحة المصدر وأدوبي كوميرس حتى الإصدار 2.4.9-alpha2 وما قبله. بينما لا توجد حاليًا أدلة على استغلال نشط للثغرة، فإن خطورتها تستدعي الاهتمام الفوري من مسؤولي منصة التجارة الإلكترونية الشهيرة.
يكمن الجذر التقني لثغرة PolyShell في كيفية تعامل واجهة برمجة تطبيقات REST الخاصة بماجينتو مع خيارات المنتج من نوع 'file'. عندما يتم تكوين منتج لقبول رفع الملفات كخيار مخصص، تعالج الواجهة كائن `file_info` مضمنًا يحتوي على بيانات ملف مشفرة بـ base64، ونوع MIME، واسم ملف. ثم يكتب النظام هذا الملف في موقع متوقع على الخادم: `pub/media/custom_options/quote/`. يكمن الفشل الحرج في أن هذه الآلية لا تجري تحققًا كافيًا، مما يسمح للمهاجمين بتخفيض نصوص برمجية ضارة—مثل أصداف الويب (web shells) المكتوبة بلغة PHP—كملفات صور غير ضارة عن طريق التلاعب بنوع MIME. التأثير مزدوج: إذا تم تكوين الخادم لتنفيذ ملفات PHP من دليل الرفع هذا، فإنه يؤدي مباشرة إلى تنفيذ الأوامر عن بُعد. بدلاً من ذلك، إذا كان الملف المرفوع يحتوي على جافا سكريبت ضار، فيمكنه تسهيل هجمات cross-site scripting المخزنة (XSS)، مما يتيح اختطاف الجلسة والاستيلاء على الحساب عندما يقوم المسؤول بعرض الملف.
عالجت أدوبي الثغرة في الفرع الأولي للإصدار 2.4.9 كجزء من النشرة الأمنية APSB25-94. ومع ذلك، تظل مشكلة كبيرة: لا يوجد ترقيع أمني معزول متاح للإصدارات الحالية من الإنتاج (2.4.8 وما قبلها). تلاحظ Sansec أنه بينما تقدم أدوبي تكوينًا نموذجيًا لخادم الويب—مثل قواعد حظر التنفيذ في دليل الرفع—والذي يمكن أن يخفف من المخاطر، فإن الغالبية العظمى من المتاجر عبر الإنترنت تعتمد على تكوينات مخصصة من موفري الاستضافة الخاصين بهم، والتي قد لا تطبق هذه القيود. تؤكد الشركة أن مجرد حظر الوصول عبر الويب إلى دليل الرفع لا يمنع عمليات الرفع نفسها؛ بدون قاعدة متخصصة لجدار حماية تطبيقات الويب (WAF)، يمكن للمهاجمين仍然 إيداع حمولات ضارة على الخادم.
في ضوء تهديد PolyShell، توصي Sansec مسؤولي المتاجر باتخاذ إجراءات دفاعية فورية. التخفيف الأساسي هو تنفيذ تحقق صارم من جانب الخادم لجميع عمليات رفع الملفات، ورفض أي ملفات ذات امتدادات قابلة للتنفيذ أو أنواع MIME غير متطابقة. يجب على المسؤولين أيضًا مراجعة وتقوية تكوين خادم الويب الخاص بهم لرفض تنفيذ النصوص البرمجية (مثل .php، .phtml) من الدليل `pub/media/custom_options/` والمجلدات الفرعية الخاصة به. تأتي هذه النصيحة وسط حملة منفصلة ونشطة وثقها Netcraft، حيث كان الجهات الفاعلة الخبيثة يخترقون ويشوهون آلاف مواقع ماجينتو منذ أواخر فبراير 2026 عن طريق رفع ملفات نصية عادية إلى أدلة الويب. يؤكد هذا السياق الاستهداف المستمر لنظام ماجينتو والحاجة الحرجة للنظافة الأمنية القوية، بما في ذلك التطبيق الفوري للترقيعات الرسمية عندما تصبح متاحة.
