CVE-2025-11953:@react-native-community/cli存在任意OS命令注入漏洞
漏洞详情
包信息
- 包管理器: npm
- 包名称: @react-native-community/cli
受影响版本
-
= 20.0.0-alpha.0, < 20.0.0
-
= 19.0.0-alpha.0, < 19.1.2
-
= 18.0.0, < 18.0.1
- < 17.0.1
已修复版本
- 20.0.0
- 19.1.2
- 18.0.1
- 17.0.1
漏洞描述
由React Native CLI启动的Metro开发服务器默认绑定到外部接口。该服务器暴露了一个易受OS命令注入攻击的端点,允许未经认证的网络攻击者向服务器发送POST请求并运行任意可执行文件。
在Windows系统上,攻击者还可以使用完全控制的参数执行任意shell命令。
技术细节
严重程度
- 严重等级: 严重
- CVSS总体评分: 9.8/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
弱点分类
- 弱点: CWE-78
- 描述: 在OS命令中使用的特殊元素的不恰当中和(OS命令注入)
参考信息
-
react-native-community/cli@1508990
-
https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability
-
https://github.com/react-native-community/cli/releases/tag/v20.0.0
-
react-native-community/cli#1615
-
react-native-community/cli@5a79216
-
react-native-community/cli@9e1fa8c
-
react-native-community/cli@a8293dc
元数据
- CVE ID: CVE-2025-11953
- GHSA ID: GHSA-399j-vxmf-hjvr
- 源代码: react-native-community/cli
发布时间线
- 国家漏洞数据库发布时间: 2025年11月3日
- GitHub咨询数据库发布时间: 2025年11月3日
- 审核时间: 2025年11月6日
- 最后更新时间: 2025年11月6日