يحث خبراء الأمن السيبراني مستخدمي حزمة تطوير الويب "adonisjs/bodyparser" على التحديث الفوري إلى أحدث إصدار، وذلك بعد الكشف عن ثغرة أمنية حرجة قد تسمح للمهاجمين بالكتابة على الخوادم عن بُعد، حسبما تابع فريق تيكبامين التقني.
ما هي تفاصيل ثغرة AdonisJS الخطيرة؟
تم رصد الثغرة تحت الرمز CVE-2026-21440 مع تصنيف خطورة مرتفع جداً (CVSS 9.2). توصف هذه المشكلة بأنها عيب في اجتياز المسار (Path Traversal) يؤثر بشكل مباشر على آلية معالجة الملفات متعددة الأجزاء في إطار عمل AdonisJS الشهير.
تُستخدم هذه المكتبة بشكل أساسي لمعالجة جسم طلبات HTTP في تطبيقات Node.js التي تعتمد على TypeScript، مما يجعل الخوادم التي تعتمد عليها عرضة للخطر إذا لم يتم تدارك الأمر.
كيف يحدث الاختراق عبر دالة نقل الملفات؟
تكمن المشكلة الجوهرية في وظيفة برمجية تسمى "MultipartFile.move(location, options)". إذا قام المطور باستخدام هذه الوظيفة دون تحديد خيارات الأمان الصحيحة أو دون تعقيم اسم الملف بشكل صريح، فإن ذلك يفتح الباب واسعاً أمام المهاجمين.
أوضح المشرفون على المشروع أن المهاجم يمكنه تقديم اسم ملف "ملغوم" يحتوي على تسلسلات اجتياز للمسار، مما يؤدي إلى نتائج كارثية تشمل:
- الكتابة في مسار وجهة خارج دليل الرفع (Upload Directory) المخصص.
- إمكانية الكتابة التعسفية للملفات الحساسة على الخادم.
- تجاوز واستبدال الملفات الموجودة إذا تم تفعيل خيار الكتابة فوق الملفات (overwrite flag) بقيمة "true".
مخاطر تنفيذ التعليمات البرمجية عن بُعد (RCE)
وفقاً للتحذيرات الأمنية، إذا تمكن المهاجم من استبدال ملفات الكود الخاصة بالتطبيق أو نصوص البدء (startup scripts) التي يتم تحميلها لاحقاً، فقد يصبح تنفيذ التعليمات البرمجية عن بُعد ممكناً.
ومع ذلك، يشير تيكبامين إلى أن نجاح هجوم RCE ليس مضموناً دائماً، حيث يعتمد بشكل كبير على أذونات نظام الملفات وتخطيط النشر الخاص بالتطبيق وسلوك وقت التشغيل.
هل تأثرت مكتبة jsPDF بثغرات مشابهة؟
تزامناً مع تحذيرات AdonisJS، تم الكشف عن ثغرة خطيرة أخرى في حزمة "jsPDF" الشهيرة (CVE-2025-68428) بتصنيف خطورة 9.2 أيضاً.
تسمح هذه الثغرة للمهاجمين بتمرير مسارات غير معقمة واسترداد محتويات ملفات تعسفية من نظام الملفات المحلي الذي تعمل عليه عملية Node، مما يعرض البيانات السرية للخطر.
للحماية من هذه المخاطر المتزايدة، يوصي الخبراء باتباع الإجراءات التالية:
- التحديث الفوري إلى إصدار jsPDF 4.0.0 الذي تم إطلاقه مؤخراً لمعالجة الخلل.
- استخدام علامة "--permission" لتقييد الوصول إلى نظام الملفات كحل بديل ومؤقت.
- مراجعة الكود البرمجي وتحديث كافة الحزم (Dependencies) بشكل دوري لضمان سد الثغرات.
