CVE-2025-11953:@react-native-community/cli存在任意操作系统命令注入漏洞
漏洞概述
漏洞等级:严重
CVSS评分:9.8/10
受影响版本
@react-native-community/cli 包
-
= 20.0.0-alpha.0, < 20.0.0
-
= 19.0.0-alpha.0, < 19.1.2
-
= 18.0.0, < 18.0.1
@react-native-community/cli-server-api 包
-
= 20.0.0-alpha.0, < 20.0.0
-
= 19.0.0-alpha.0, < 19.1.2
-
= 18.0.0, < 18.0.1
已修复版本
- 20.0.0
- 19.1.2
- 18.0.1
漏洞详情
React Native CLI启动的Metro开发服务器默认绑定到外部接口。该服务器暴露了一个存在操作系统命令注入漏洞的端点,允许未经认证的网络攻击者向服务器发送POST请求并运行任意可执行文件。
在Windows系统上,攻击者还可以使用完全控制的参数执行任意shell命令。
技术细节
弱点类型: CWE-78 - 操作系统命令中使用的特殊元素的不当中和(操作系统命令注入)
攻击向量: 网络 攻击复杂度: 低 所需权限: 无 用户交互: 无
参考链接
安全建议
建议所有使用受影响版本的用户立即升级到已修复的安全版本:
- 升级到v20.0.0
- 或升级到v19.1.2
- 或升级到v18.0.1