परिचय: CVE-2025-11953 रिएक्ट नेटिव सुरक्षा के लिए क्यों गेम-चेंजर है
यदि आप एक रिएक्ट नेटिव चाहे आप एक डेवलपर हों या मोबाइल एप्लिकेशन के साथ काम करने वाले एक आईटी सुरक्षा पेशेवर, आपको इन बातों की जानकारी होनी चाहिए। सीवीई-2025-11953—एक गंभीर भेद्यता जो कोर को प्रभावित करती है मेट्रो डेवलपमेंट सर्वर में इस्तेमाल किया गया रिएक्ट नेटिव परियोजनाएँ। यह भेद्यता विकास वातावरण को रिमोट कोड निष्पादन (आरसीई) हमले, जो महत्वपूर्ण जोखिम पैदा करते हैं, विशेष रूप से उन लोगों के लिए जो अपने विकास सर्वरों को सुरक्षित रूप से कॉन्फ़िगर करने में विफल रहते हैं।
मूलतः सीवीई-2025-11953 एक का खुलासा करता है दोहरा झटका: डिफ़ॉल्ट कॉन्फ़िगरेशन की खामियाँ और कमांड इंजेक्शन की कमजोरियाँ. द मेट्रो डेवलपमेंट सर्वर, React Native ऐप्स को बंडल और डिबग करने के लिए आवश्यक, डिफ़ॉल्ट रूप से बाइंड करता है 0.0.0.0, जिससे सर्वर तक बाहरी पहुँच संभव हो जाती है। इसके अलावा, सर्वर में कुछ उजागर एंडपॉइंट बिना फ़िल्टर किए उपयोगकर्ता इनपुट स्वीकार करते हैं, जिससे हमलावर ऑपरेटिंग सिस्टम कमांड इंजेक्ट कर सकते हैं, जिससे आरसीई और पूरा मेज़बान पर कब्ज़ा.
चूंकि React Native क्रॉस-प्लेटफ़ॉर्म मोबाइल ऐप डेवलपमेंट के लिए एक प्रमुख फ्रेमवर्क है, डेवलपर्स अक्सर इस भेद्यता से उत्पन्न जोखिमों को कम आंकते हैं। इस लेख में, हम के मुख्य मुद्दों का विश्लेषण करेंगे। सीवीई-2025-11953, इसके तकनीकी निहितार्थों को समझाएँ, और जोखिम को कम करने के लिए क्रियान्वित कदम प्रदान करें। हम आपके विकास वातावरण को सुरक्षित करने और सुरक्षित React Native वर्कफ़्लो बनाए रखने के व्यावहारिक पहलुओं पर भी चर्चा करेंगे।
CVE-2025-11953 क्या है? एक गहराई से विश्लेषण
JFrog Ltd. की सुरक्षा अनुसंधान टीम के अनुसार, यह भेद्यता व्यापक रूप से उपयोग किए जाने वाले NPM पैकेज को प्रभावित करती है। @रिएक्ट-नेटिव-कम्युनिटी/सीएलआई, जो React Native के लिए Metro सर्वर को चलाता है। यह खामी अनधिकृत हमलावरों को एक तैयार किए गए POST अनुरोध को एक उजागर एंडपॉइंट (जैसे /ओपन-यूआरएल) और होस्ट पर मनमाने OS कमांड्स निष्पादित करें। जेफ़्रॉग+2nvd.nist.gov+2 मुख्य कारक:
- CVSS 3.1 स्कोर: 9.8 (एवी:न/एसी:एल/पीआर:न/यूआई:न/एस:यू/सी:एच/आई:एच/ए:एच) एनवीडी.एनआईएसटी.जीओवी
- प्रभावित संस्करण: @रिएक्ट-नेटिव-कम्युनिटी/सीएलआई-सर्वर-एपीआई 4.8.0 से 20.0.0-alpha.2 तक। पैच संस्करण 20.0.0 में उपलब्ध है। द हैकर न्यूज़+1
- मूल समस्या: मेट्रो सर्वर डिफ़ॉल्ट रूप से 0.0.0.0 पर बाइंड करता है। और उपयोगकर्ता इनपुट को पारित करता है
खोलें()(ओपन npm पैकेज से) एक OS कमांड निष्पादन पथ में। सीएसओ ऑनलाइन+1
यह क्यों मायने रखता है: लोकलहोस्ट तक सीमित सामान्य डेवलपमेंट सर्वर की खामियों के विपरीत, यह एक प्रदान करता है। दूरस्थ नेटवर्क वेक्टरमेट्रो चलाने वाले डेव मशीन और CI एजेंट जोखिम में हैं। ई-सिक्योरिटी प्लैनेट
| आइटम | विवरण |
|---|---|
| सीवीई आईडी | सीवीई-2025-11953 |
| भेद्यता प्रकार | ओएस कमांड इंजेक्शन (CWE-78) |
| प्रभावित घटक | रिएक्ट नेटिव सीएलआई का मेट्रो डेवलपमेंट सर्वर |
| प्रभावित संस्करण | React Native ≤ 0.74.1 / Metro ≤ 0.81.0 (और CLI-server-api 4.8.0–20.0.0-alpha.2) |
| ट्रिगर एंडपॉइंट | प्रकट HTTP एंडपॉइंट्स (उदाहरण के लिए, /open-url, /symbolicate, /debugger-ui) |
| गंभीरता (CVSS) | 9.8 / एवी:एन / एसी:एल / पीआर:एन / यूआई:एन |
| प्राथमिक जोखिम | रिमोट कोड निष्पादन → डेवलपर मशीन का समझौता → आंतरिक नेटवर्क में पार्श्व गति |
यहाँ उन विशिष्ट तकनीकी जोखिमों पर करीब से नज़र डाली गई है जो इस खामी को विशेष रूप से खतरनाक बनाते हैं।:
मेट्रो सर्वर का डिफ़ॉल्ट एक्सपोज़र
जब रिएक्ट नेटिव सीएलआई शुरू करता है मेट्रो विकास सर्वर, यह स्वतः बाँधता है 0.0.0.0, जिसका अर्थ है कि सर्वर सभी उपलब्ध नेटवर्क इंटरफेस—आंतरिक और बाहरी दोनों—पर सुन रहा है। यह किसी भी डेवलपर के लिए एक बड़ा सुरक्षा जोखिम है जो सर्वर को ऐसी मशीन पर होस्ट कर रहा है जिसमें इंटरनेट पहुँच.
यहाँ उस कोड का एक नमूना है जो इस डिफ़ॉल्ट बाइंडिंग को कॉन्फ़िगर करता है:
जावास्क्रिप्ट:
// मेट्रो सर्वर डिफ़ॉल्ट कॉन्फ़िग (react-native/node_modules/metro/src/server/index.js)
const कॉन्फ़िग = {
होस्ट: '0.0.0.0', // सभी इंटरफेस से जुड़ता है
पोर्ट: 8081, // डिफ़ॉल्ट पोर्ट
enableCORS: true // क्रॉस-ओरिजिन अनुरोध सक्षम
};
जो होना चाहिए वह यह है कि मेट्रो सर्वर केवल से बाइंड करे। 127.0.0.1 (localhost), यह सुनिश्चित करते हुए कि केवल स्थानीय विकास मशीन ही इसे एक्सेस कर सकती है। हालांकि, यह कॉन्फ़िगरेशन अनुमति देता है दूरस्थ पहुँच, जिससे सर्वर को खतरा हो जाता है।
कमांड इंजेक्शन भेद्यता
कमी के दूसरे भाग में शामिल है कमांड इंजेक्शन, जहाँ कुछ एंडपॉइंट, जैसे /प्रतीकित करना और /डीबगर-यूआईउपयोगकर्ता इनपुट को सीधे सिस्टम कमांड्स में पास करें। इनपुट सत्यापन की इस कमी से हमलावर दुर्भावनापूर्ण कमांड्स इंजेक्ट कर सकते हैं और संभावित रूप से मनमाना कोड निष्पादित कर सकते हैं।
उदाहरण के लिए, एक वैध अनुरोध करने के लिए /प्रतीकित करना ऐसा दिख सकता है:
POST /symbolicate HTTP/1.1
होस्ट: [target-ip]:8081
सामग्री-प्रकार: अनुप्रयोग/जॉनसन
{
लॉग पथ: /var/log/react-native/crash.log
}
हालाँकि, एक हमलावर अतिरिक्त कमांड इंजेक्ट कर सकता है, जैसे कि इस प्रकार:
POST /symbolicate HTTP/1.1
होस्ट: [target-ip]:8081
सामग्री-प्रकार: अनुप्रयोग/जॉनसन
{
"logPath": "/var/log/react-native/crash.log && whoami"
}
इस मामले में, सिस्टम कमांड को निष्पादित करता है। cat /var/log/react-native/crash.log && whoami, जिससे हमलावर को सर्वर पर मनमाने आदेश चलाने की अनुमति मिलती है, जैसे मैं कौन हूँ वर्तमान उपयोगकर्ता को प्रकट करने के लिए।
CVE-2025-11953 से React Native के कौन से संस्करण प्रभावित हैं?
कमी प्रभावित करती है रिएक्ट नेटिव संस्करण ≤ 0.74.1 और मेट्रो संस्करण ≤ 0.81.0यदि आप इन संस्करणों या इससे पुराने किसी भी संस्करण का उपयोग कर रहे हैं, तो अपने विकास वातावरण को दूरस्थ कोड निष्पादन के जोखिम से बचाने के लिए तुरंत अपग्रेड करना अत्यंत आवश्यक है।
अपने React Native संस्करण की जाँच करने के लिए, आप चला सकते हैं:
एनपीएम लिस्ट @react-नेटीव-कम्युनिटी/सीएलआई-सर्वर-एपीआई
यदि संस्करण पुराना है, तो निम्न कमांड चलाकर एक सुरक्षित संस्करण में अपग्रेड करें:
एनपीएम इंस्टॉल रिएक्ट-नेटिव@latest
यदि React Native को तुरंत अपग्रेड करना संभव नहीं है, तो आप अपडेट मेट्रो स्वतंत्र रूप से चलाकर:
एनपीएम इंस्टॉल मेट्रो@latest --save-dev
CVE-2025-11953 के लिए व्यावहारिक शमन रणनीतियाँ
तत्काल समाधान: मेट्रो को लोकलहोस्ट से बाँधें
यदि आप अपनी निर्भरताओं को तुरंत अपग्रेड नहीं कर सकते, तो आप बाइंड करके जोखिम को अस्थायी रूप से कम कर सकते हैं। मेट्रो सर्वर को 127.0.0.1. यह बाहरी हमलावरों को सर्वर तक पहुँचने से रोकता है, भले ही वह खुला हो।
मेट्रो को लोकलहोस्ट से बाँधने के लिए, चलाएँ:
एनपीएक्स रिएक्ट-नेटिव स्टार्ट --होस्ट 127.0.0.1
इसे स्थायी बनाने के लिए, अपने में निम्नलिखित जोड़ें पैकेज.जेएसओएन:
"स्क्रिप्ट्स": {
"start": "react-native start --host 127.0.0.1",
"android": "react-native run-android",
"ios": "react-native run-ios"
}
नेटवर्क सुरक्षा: फ़ायरवॉल का उपयोग करें
एक अन्य तत्काल सुरक्षा उपाय है विन्यास करना। फ़ायरवॉल डिफ़ॉल्ट मेट्रो पोर्ट (8081) तक किसी भी बाहरी पहुँच को अवरुद्ध करने के लिए। उदाहरण के लिए, लिनक्स पर, उपयोग करें:
iptables -A INPUT -p tcp --dport 8081 -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp --dport 8081 -j DROP
Windows उपयोगकर्ताओं के लिए, फ़ायरवॉल को पोर्ट 8081 को तक सीमित करने के लिए कॉन्फ़िगर करें। स्थानीय मेज़बान.
पेनलिजेंट: रिएक्ट नेटिव प्रोजेक्ट्स के लिए सुरक्षा परीक्षण का स्वचालन
एक React Native डेवलपर के रूप में, जैसी कमजोरियों से आगे रहना सीवीई-2025-11953 चुनौतीपूर्ण हो सकता है। यहीं पर पेनलिजेंट, एक एआई-संचालित पेनेट्रेशन टेस्टिंग प्लेटफ़ॉर्म, काम में आता है। पेनलिजेंट इस तरह की कमजोरियों का पता लगाने को स्वचालित करता है सीवीई-2025-11953, आपके React Native कोडबेस और कॉन्फ़िगरेशनों को रीयल-टाइम में संभावित जोखिमों की पहचान करने के लिए स्कैन करना।
साथ पेनलिजेंट, आप स्वचालित को एकीकृत कर सकते हैं भेदन परीक्षण अपनी विकास पाइपलाइन में शामिल करें, यह सुनिश्चित करते हुए कि आपके प्रोजेक्ट्स तैनाती से पहले सुरक्षित हों। यह सक्रिय सुरक्षा दृष्टिकोण आपको महंगी कमजोरियों से बचाता है और आपके उपयोगकर्ताओं को दुर्भावनापूर्ण हमलों से सुरक्षित रखता है।
निष्कर्ष: CVE-2025-11953 से React Native प्रोजेक्ट्स को सुरक्षित करना
सीवीई-2025-11953 में गंभीर सुरक्षा खामियों का खुलासा किया है मेट्रो विकास सर्वर के रिएक्ट नेटिव, जिससे हमलावरों के लिए विकास वातावरण पर कब्जा करना आसान हो जाता है। द्वारा समझकर संरचनात्मक खामियाँ और कमांड इंजेक्शन के जोखिम, डेवलपर्स अपने प्रोजेक्ट्स की सुरक्षा के लिए कार्रवाई कर सकते हैं।
के जोखिमों को कम करने के लिए सीवीई-2025-11953, डेवलपर्स को चाहिए:
- नवीनतम में अपग्रेड करें रिएक्ट नेटिव और मेट्रो संस्करण।
- अस्थायी समाधान लागू करें जैसे कि सर्वर को बाइंड करना स्थानीय मेज़बान.
- मेट्रो के डिफ़ॉल्ट पोर्ट तक पहुंच को प्रतिबंधित करने के लिए फ़ायरवॉल कॉन्फ़िगर करें।
इसके अलावा, जैसे उपकरणों का उपयोग करके पेनलिजेंट सुरक्षा परीक्षण को स्वचालित कर सकते हैं, जिससे आपका विकास वातावरण सुरक्षित बना रहे। इन रणनीतियों को अपनाकर, आप अपने React Native प्रोजेक्ट्स को खतरे से सुरक्षित रख सकते हैं। दूरस्थ कोड निष्पादन और सुनिश्चित करें कि आपके विकास वर्कफ़्लो सुरक्षित रहें।
अधिक सुरक्षा सर्वोत्तम प्रथाओं के लिए, संदर्भ लें। ओवास्प टॉप टेन और एनपीएम सुरक्षा सलाहकार नवीनतम अपडेट के लिए।
Hindi 
English 
German 
French 
Spanish 
Portuguese 
Japanese 
Korean 
Arabic 
Turkish 
Hebrew