CVE-2025-11953:@react-native-community/cli存在任意操作系统命令注入漏洞
漏洞概述
严重程度: 严重(CVSS评分9.8/10)
漏洞类型: OS命令注入(CWE-78)
受影响版本
@react-native-community/cli (npm)
- 受影响版本:
-
= 20.0.0-alpha.0, < 20.0.0
-
= 19.0.0-alpha.0, < 19.1.2
-
= 18.0.0, < 18.0.1
-
- 已修复版本:
- 20.0.0
- 19.1.2
- 18.0.1
@react-native-community/cli-server-api (npm)
- 受影响版本:
-
= 20.0.0-alpha.0, < 20.0.0
-
= 19.0.0-alpha.0, < 19.1.2
-
= 18.0.0, < 18.0.1
-
- 已修复版本:
- 20.0.0
- 19.1.2
- 18.0.1
技术细节
React Native CLI启动的Metro开发服务器默认绑定到外部接口。该服务器暴露了一个易受OS命令注入攻击的端点,允许未经身份验证的网络攻击者向服务器发送POST请求并运行任意可执行文件。
在Windows系统上,攻击者还可以使用完全控制的参数执行任意shell命令。
CVSS v3.1基准指标
- 攻击向量(AV): 网络(N)
- 攻击复杂度(AC): 低(L)
- 所需权限(PR): 无(N)
- 用户交互(UI): 无(N)
- 范围(S): 未改变(U)
- 机密性影响(C): 高(H)
- 完整性影响(I): 高(H)
- 可用性影响(A): 高(H)
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-11953
- https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability
- https://github.com/react-native-community/cli/releases/tag/v20.0.0
漏洞标识
- CVE ID: CVE-2025-11953
- GHSA ID: GHSA-399j-vxmf-hjvr
致谢
感谢以下安全研究人员的贡献:
- Malayke
- cylewaitforit
- liamjones
- conorfitch