- يسمح CVE-2025-11953 بإدخال أوامر نظام التشغيل عبر خادم Metro في React Native CLI
- يؤثر على الإصدارات 4.8.0–20.0.0-alpha.2؛ مصححة في 20.0.0؛ استغلال لا يتطلب أي مصادقة
- لا يوجد استغلال مؤكد حتى الآن؛ تقييد تعرض الخادم أو التحديث على الفور
حذّر الخبراء من أن حزمة npm شائعة على نطاق واسع تحمل ثغرة أمنية خطيرة تسمح لممثلي التهديد، في سيناريوهات معينة، بتشغيل أوامر ضارة.
يقول باحثو الأمن السيبراني من JFrog إن الحزمة المعنية تسمى “@react-native-community/cli”، وهي مصممة لمساعدة المطورين على بناء تطبيقات React Native للهواتف المحمولة، والحصول على ما يصل إلى مليوني عملية تنزيل أسبوعيًا.
في NVD، تم توضيح أن Metro Development Server، الذي تم فتحه بواسطة React Native Community CLI، يرتبط بالواجهات الخارجية افتراضيًا. يكشف الخادم عن نقطة نهاية معرضة لحقن أوامر نظام التشغيل، مما يسمح للجهات الفاعلة في مجال التهديد بإرسال طلب POST وتشغيل ملفات تنفيذية عشوائية – وهذا يعني أنه على نظام التشغيل Windows، يمكن للمهاجمين أيضًا تنفيذ أوامر shell التعسفية باستخدام وسيطات يتم التحكم فيها بالكامل، ومن ناحية أخرى، على Linux وmacOS، يمكنهم تنفيذ ثنائيات عشوائية مع تحكم محدود في المعلمات.
يتصرفون مثل نشطاء القرصنة
تم تتبع الخطأ باسم CVE-2025-11953، وحصل على درجة خطورة تبلغ 9.8/10 (حرجة). وهو يؤثر على إصدارات الحزمة من 4.8.0 إلى 20.0.0-alpha.2، وتم تصحيحه في الإصدار 20.0.0 الذي تم إصداره أوائل الشهر الماضي. يجب على أولئك الذين لا يستطيعون تحديث نقاط النهاية الخاصة بهم على الفور تقييد تعرض الشبكة لخادم Metro.
إذا كنت تستخدم React Native مع إطار عمل لا يعتمد على Metro كخادم تطوير، فلن تتأثر، كما ذكرنا أيضًا. وأوضح باحثو JFrog أن “ثغرة اليوم الصفري هذه خطيرة بشكل خاص بسبب سهولة استغلالها، ونقص متطلبات المصادقة ومساحة الهجوم الواسعة”. “كما أنه يكشف عن المخاطر الحاسمة المخفية في تعليمات برمجية خاصة بطرف ثالث.”
“بالنسبة لفرق التطوير والأمن، فإن هذا يؤكد الحاجة إلى فحص أمني آلي وشامل عبر سلسلة توريد البرامج لضمان معالجة العيوب التي يمكن استغلالها بسهولة قبل أن تؤثر على مؤسستك.”
وفي وقت كتابة المقالة، لم تكن هناك تقارير عامة مؤكدة تفيد باستغلال CVE-2025-11953 في البرية. تشير مصادر متعددة إلى أنه على الرغم من أن الثغرة الأمنية قابلة للاستغلال بشكل كبير، إلا أنه لم يتم التحقق من نشاط الاستغلال الفعلي بعد.
عبر أخبار الهاكر
أفضل برامج مكافحة الفيروسات لجميع الميزانيات
اتبع TechRadar على أخبار جوجل و أضفنا كمصدر مفضل للحصول على أخبار الخبراء والمراجعات والآراء في خلاصاتك. تأكد من النقر على زر المتابعة!
وبالطبع يمكنك أيضًا اتبع TechRadar على TikTok للحصول على الأخبار والمراجعات وفتح الصناديق في شكل فيديو، والحصول على تحديثات منتظمة منا على واتساب أيضاً.
التعليقات