كُشف مؤخرًا عن ثغرة أمنية خطيرة جرى تصحيحها في حزمة NPM الشهيرة @react-native-community/cli، كانت تسمح – في ظروف معينة – بتنفيذ أوامر خبيثة على نظام التشغيل عن بُعد، مما عرض ملايين المطورين لمخاطر جسيمة.
ثغرة حرجة بدرجة خطورة 9.8
بحسب تقرير شركة JFrog، فإن الثغرة المصنفة تحت الرمز CVE-2025-11953 حصلت على تقييم CVSS بلغ 9.8 من 10، ما يجعلها من الفئة الحرجة. وتشمل الثغرة أيضًا حزمة @react-native-community/cli-server-api من الإصدار 4.8.0 حتى 20.0.0-alpha.2، قبل أن يجري إصلاحها في الإصدار 20.0.0 الصادر مطلع الشهر الماضي.
تُعد هذه الأداة، التي تُشرف عليها شركة Meta، من أبرز مكونات بيئة تطوير تطبيقات React Native، إذ تُسجل ما بين 1.5 إلى 2 مليون تحميل أسبوعيًا.
سبب الثغرة وآلية الاستغلال
أوضحت JFrog أن السبب الجوهري للثغرة يعود إلى إعدادات خادم التطوير Metro المستخدم في بناء شيفرات JavaScript ومكونات المشروع، حيث يقوم بالارتباط افتراضيًا بواجهات خارجية بدلًا من localhost، كما يوفّر مسارًا بعنوان /open-url يمكن استغلاله في حقن أوامر نظام التشغيل (OS Command Injection).
وأضاف الباحث الأمني Or Peles أن هذا المسار يعالج طلبات POST تحتوي على مدخلات من المستخدم تُمرر إلى دالة open() غير الآمنة من حزمة open، مما يتيح تنفيذ أوامر على النظام. وبذلك يستطيع مهاجم غير مصادق من الشبكة إرسال طلب مُصمم خصيصًا لتشغيل أوامر تعسفية، سواء على Windows حيث يمكن تنفيذ أوامر Shell كاملة، أو على Linux وmacOS ضمن نطاق محدود من المعلمات.
مدى التأثير على المطورين
رغم معالجة الثغرة في الإصدارات الأخيرة، فإن الخطر يبقى قائمًا لدى المشاريع التي ما زالت تستخدم خادم Metro الافتراضي دون تحديث. أما المطورون الذين يعتمدون على أطر عمل لا تستخدم هذا الخادم فهم غير متأثرين بالثغرة.
وأكد Peles أن “هذه الثغرة من نوع Zero-Day تُعد خطيرة للغاية بسبب سهولة استغلالها، وغياب الحاجة لأي مصادقة، واتساع نطاق الاستهداف الممكن”، مشيرًا إلى أنها تكشف “المخاطر الحرجة الكامنة في الشيفرات التابعة لطرف ثالث”.
دعوة لتعزيز أمن سلسلة التوريد البرمجية
حثّ الباحثون فرق التطوير والأمن السيبراني على تطبيق المسح الأمني الآلي والشامل عبر سلسلة التوريد البرمجية بأكملها، لضمان اكتشاف الثغرات القابلة للاستغلال ومعالجتها قبل أن تتسبب بأضرار للمؤسسات.
