ثغرة PolyShell في ماجنتو تهدد المتاجر بالاختراق

ثغرة PolyShell في ماجنتو تكشف خطراً كبيراً على المتاجر الإلكترونية، إذ تسمح برفع ملفات خبيثة وتنفيذ أوامر عن بعد والسيطرة على الحسابات.

ما هي ثغرة PolyShell في ماجنتو وكيف تعمل؟

الخلل مرتبط بواجهة REST التي تقبل رفع ملفات ضمن خيارات المنتجات المخصصة في عربة التسوق، وهو ما يفتح الباب لهجوم غير مصادق.

عندما يكون الخيار من نوع ملف، تُرسل بيانات ملف مشفّرة بـ base64 مع نوع MIME واسم ملف، ويتم حفظها في المسار `pub/media/custom_options/quote/` داخل الخادم.

حتى الآن لا توجد دلائل علنية على استغلال واسع، لكن طبيعة الرفع غير المقيّد تجعلها مغرية للمهاجمين.

ما الذي يجعل الهجوم فعالاً؟

التحقق من نوع الملف غير صارم، ما يسمح بإخفاء كود ضار داخل صورة تبدو سليمة، لذلك سُمّي الهجوم PolyShell.

إذا كان الخادم يسمح بتفسير PHP من مسارات الرفع، فقد يؤدي ذلك إلى تنفيذ أوامر عن بعد أو اختراق الحسابات عبر XSS مخزّن.

ما المخاطر على متاجر التجارة الإلكترونية؟

الإصدارات المتأثرة تشمل Magento Open Source وAdobe Commerce حتى 2.4.9-alpha2، بينما تم تضمين إصلاح أولي في فرع تجريبي دون تصحيح منفصل للإنتاج.

وفقاً لتحليل تيكبامين، الخطورة الأبرز أن المهاجم لا يحتاج لتسجيل الدخول، ما يزيد احتمالات الاستغلال على نطاق واسع.

تغيّر إعدادات الاستضافة قد يحدد حجم الضرر؛ بعض الخوادم تمنع تنفيذ PHP في مجلدات الوسائط، بينما أخرى تتركه متاحاً.

• رفع ملفات تنفيذية باسم صور أو مرفقات مزيفة.
• زرع سكربتات خبيثة تؤدي إلى سرقة الجلسات.
• السيطرة على حسابات العملاء أو المدراء عبر XSS.
• تخريب صفحات المتجر أو تعطيل عمليات الدفع.
• تسريب بيانات حساسة إن تم دمجها مع ثغرات أخرى.

كيف تحمي متجرك من ثغرة PolyShell في ماجنتو؟

لا توجد حتى الآن رقعة مستقلة للإصدارات الإنتاجية، لكن يمكن تقليل المخاطر عبر إعدادات الخادم وسياسات الرفع.

خطوات دفاع عملية

• تطبيق قواعد جدار حماية WAF مخصصة لعمليات رفع الملفات.
• تعطيل تنفيذ PHP في أدلة الوسائط والرفع الحساسة.
• تقييد أنواع الملفات المسموح بها والتحقق من المحتوى الفعلي.
• مراقبة السجلات ومسارات الرفع للكشف المبكر عن نشاط مريب.
• متابعة تحديثات Adobe فور صدورها للإصدارات المستقرة.

من المهم اختبار مسار الرفع في بيئة تجريبية والتأكد من أن الحجب لا يكتفي بمنع الوصول، لأن الحجب وحده لا يمنع الرفع فعلياً.

هل هناك هجمات جارية مرتبطة بماجنتو؟

بالتوازي مع ذلك، رصدت شركة Netcraft حملة تشويه واسعة استهدفت آلاف مواقع التجارة الإلكترونية عبر رفع ملفات نصية في أدلة عامة.

ما الذي نعرفه حتى الآن؟

الحملة بدأت في 27 فبراير 2026 وشملت نحو 15,000 اسم مضيف على 7,500 نطاق، مع تأثير على قطاعات وعلامات عالمية متعددة.

• رفع ملفات txt للتشويه في مسارات عامة.
• تنوع القطاعات المستهدفة من تجارة إلكترونية وخدمات حكومية.
• عدم وضوح ما إذا كان السبب ثغرة محددة أم سوء إعداد.
• الترجيح بوجود جهة واحدة خلف الحملة حتى الآن.

لا يوجد تأكيد حتى الآن على ارتباط الحملة بخلل PolyShell، لكن تشابه أساليب رفع الملفات يرفع مستوى القلق لدى مسؤولي المتاجر.

الخلاصة أن ثغرة PolyShell في ماجنتو تتطلب استجابة عاجلة، ومع متابعة تحديثات Adobe واتباع إرشادات تيكبامين يمكن تقليل المخاطر قبل أي استغلال واسع.