ذكاء اصطناعي
منصات
ريادة عربية
أجهزة ذكية
هواتف
برمجةثغرة خطيرة في أداة React Native تهدد ملايين المطورين بهجمات عن بُعد
اكتُشفت ثغرة في خادم Metro تؤثر على حزمة React Native CLI.
الثغرة تسمح لمهاجم غير مصادق بتنفيذ أوامر في نظام التشغيل.
توفر هذه الثغرة دروسًا حول هشاشة أدوات التطوير وضرورة فحصها.
أغلقت ميتا الثغرة في الإصدار 20.
0.
0 لكن الثقة تأثرت.
في لحظةٍ هادئة أمام شاشة مطوّر يعمل على تطبيق جديد، قد يكون جهازه متّصلاً بخادم محلي لبيئة عمل React Native. ما لا يعرفه ذلك المطوّر هو أن هذا الخادم، حتى وقت قريب، كان يحمل ثغرة قادرة على فتح بابه أمام أي مهاجم على الشبكة لتنفيذ أوامر مباشرة في نظام التشغيل. خبر كهذا يوجّه الأنظار مرّة أخرى إلى هشاشة ما نُسميه عادة “أدوات التطوير الآمنة”.
ثغرة تضرب قلب بيئة التطوير
الثغرة التي كشفتها شركة JFrog وأُدرجت في قاعدة بيانات CVE تحت الرقم CVE-2025-11953 لم تكن في نظام إنتاج أو خدمة سحابية، بل داخل أداة يحتك بها ملايين المطوّرين: حزمة React Native CLI. عبر نقطة دخول بسيطة في خادم Metro، كان بإمكان مهاجم غير مصادق عليه إرسال طلبات معدّة خصيصًا لتنفيذ أوامر داخل النظام. الخطورة هنا لا تكمن فقط في الشيفرة، بل في موضعها داخل سلسلة تطوير تشغّلها “ميتا” وتعتمد عليها شركات حول العالم.
عندما يتحوّل خادم التطوير إلى سلاح
السيرفر الذي يُفترض أن يُترجم الأكواد ويحدّث الواجهة فور تعديلها، اكتُشف أنه يرتبط افتراضيًا بكل الواجهات الشبكية وليس بالمضيف المحلي فقط، ويحتوي على واجهة برمجية تسمح بفتح الروابط. هذه البساطة في التصميم فتحت الباب أمام احتمال مرعب: تنفيذ أوامر في نظام التشغيل دون أي تحقق من المصدر. على أنظمة ويندوز قد تصل السيطرة إلى أوامر كاملة، وعلى لينكس وماك تُنفَّذ ملفات خارجية بمرونة أخف لكنها كافية لإحداث ضرر.
مشهد الأمن في زمن الشيفرات المشتركة
هذا الحادث يضع الإصبع على معضلة أعمق في منظومة تطوير البرمجيات الحديثة: الاعتماد الكثيف على مكتبات مفتوحة المصدر تُدار أحيانًا خارج نطاق نظر الشركات التي تبني عليها منتجاتها. كل أداة تضيف سرعة وجودة للمطورين، لكنها في المقابل توسّع سطح الهجوم بدرجة يصعب قياسها. الأمان لم يعد يتعلّق بحماية التطبيق النهائي فقط، بل بكل خطوة في رحلته نحو المستخدم.
الدرس الذي يجب أن يبقى
أغلقت ميتا الثغرة في الإصدار 20.0.0، لكن الضجيج الذي تبعها ليس عن رقم النسخة، بل عن الثقة التي خسرها كثيرون مؤقتًا في الخطوط الخلفية لبرمجياتهم اليومية. لم تعد المسألة مقتصرة على الكشف عن الأخطاء، بل على إعادة بناء ممارسات تصون بيئة التطوير منذ لحظة كتابة أول سطر كود وحتى مرحلة النشر والإصدارات التلقائية.
أمان المطور قبل أمان المستخدم
في نهاية المطاف، المطور الذي يبني تطبيقًا للهواتف يحتاج أن يشعر بأن أدواته تحميه بقدر ما تمكّنه. فالثغرات في بيئة التطوير تمسّ الإنسان قبل الشيفرة، وتكشف أن الابتكار لا يمكن أن يسبق السلامة إلى الأبد. وبينما يتسابق العالم نحو أتمتة كل خطوة في دورة التطوير، تظل البقعة الأضعف هي تلك التي نغفل عنها لأننا نعتقد أنها آمنة بما يكفي.
