@react-native-community/cli存在任意操作系统命令注入漏洞

漏洞概述

CVE ID: CVE-2025-11953
严重等级: 严重（CVSS评分9.8）
漏洞类型: OS命令注入（CWE-78）

受影响版本

• = 20.0.0-alpha.0, < 20.0.0

• = 19.0.0-alpha.0, < 19.1.2

• = 18.0.0, < 18.0.1

• < 17.0.1

已修复版本

• 20.0.0
• 19.1.2
• 18.0.1
• 17.0.1

漏洞详情

由React Native CLI启动的Metro开发服务器默认绑定到外部接口。该服务器暴露的端点存在操作系统命令注入漏洞，允许未经身份验证的网络攻击者向服务器发送POST请求并运行任意可执行文件。

在Windows系统上，攻击者还可以使用完全控制的参数执行任意shell命令。

技术影响

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 无
• 用户交互: 无
• 影响范围: 机密性-高、完整性-高、可用性-高

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-11953
• https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability
• https://github.com/react-native-community/cli/releases/tag/v20.0.0