كشفت تقارير أمنية حديثة عن ثغرة حرجة في حزمة npm الشهيرة “@react-native-community/cli”، كانت تُعرّض أنظمة المطورين لخطر تنفيذ أوامر خبيثة عن بُعد دون الحاجة إلى مصادقة، قبل أن يجري إصلاحها مؤخرًا.
ثغرة تسمح بتنفيذ أوامر النظام عن بُعد
وفقًا لتقرير صادر عن الباحث الأمني أور بيلِس من شركة JFrog، فإن الثغرة سمحت للمهاجمين غير الموثقين بتنفيذ أوامر نظام تشغيل عشوائية على الأجهزة التي تشغّل خادم التطوير الخاص بـ React Native CLI، ما يشكل خطرًا كبيرًا على مطوري التطبيقات.
وحُدّدت الثغرة تحت المعرف CVE-2025-11953 بدرجة خطورة 9.8 من 10 وفقًا لمقياس CVSS، وهو تصنيف يشير إلى مستوى حرج من التهديد. وقد أثّرت على الحزمة التابعة “@react-native-community/cli-server-api” في الإصدارات من 4.8.0 حتى 20.0.0-alpha.2، قبل أن تُعالج في الإصدار 20.0.0 الصادر مطلع الشهر الماضي.
مصدر الثغرة: إعدادات الخادم الافتراضية
تُستخدم الحزمة، التي تطورها شركة Meta، كأداة أساسية لبناء تطبيقات الهواتف المحمولة بتقنية React Native، وتُسجّل نحو 1.5 إلى 2 مليون عملية تنزيل أسبوعيًا.
وأوضح التقرير أن سبب الثغرة يعود إلى أن خادم Metro المستخدم في بناء التعليمات البرمجية والموارد في React Native يقوم بالارتباط بالواجهات الخارجية بشكل افتراضي بدلًا من الاقتصار على localhost، كما أنه يوفّر نقطة وصول “/open-url” يمكن استغلالها لحقن أوامر النظام (Command Injection).
وأضاف الباحث أن هذه النقطة تتعامل مع طلب POST يتضمن قيمة يُدخلها المستخدم، يتم تمريرها مباشرة إلى الدالة غير الآمنة open() من مكتبة npm المسماة “open”، ما يتيح تنفيذ أوامر النظام على الجهاز المستهدف.
استغلال واسع النطاق عبر POST خبيثة
يمكن لأي مهاجم على الشبكة — دون الحاجة إلى بيانات اعتماد — إرسال طلب POST مصمم خصيصًا لاستغلال الثغرة وتشغيل أوامر نظامية بشكل مباشر.
وفي أنظمة Windows يمكن تنفيذ أوامر shell كاملة مع معاملات خاضعة لتحكم المهاجم، بينما في Linux وmacOS يمكن تشغيل ملفات تنفيذية محددة ضمن قيود جزئية للمعاملات.
ورغم معالجة الثغرة، فإن المطورين الذين يستخدمون React Native مع أطر عمل لا تعتمد على Metro كخادم تطوير غير متأثرين بهذه المشكلة.
تحذيرات من مخاطر السلسلة البرمجية
حذّر بيلِس من أن هذه الثغرة تُعد من نوع الثغرات يوم الصفر (Zero-Day) بالغة الخطورة، لسهولة استغلالها وغياب الحاجة للمصادقة واتساع سطح الهجوم، مؤكدًا أنها “تكشف عن المخاطر العميقة الكامنة في الأكواد التابعة لجهات خارجية”.
وأضاف: “تُبرز هذه الواقعة حاجة الفرق التطويرية والأمنية إلى اعتماد عمليات فحص أمنية مؤتمتة وشاملة على امتداد سلسلة التوريد البرمجية، لضمان معالجة الثغرات القابلة للاستغلال بسهولة قبل أن تؤثر في المؤسسات.”
