Важная уязвимость (CVE-2025-11953) в пакете @react-native-community/cli позволяет инъекцию команд ОС через Metro development server. Реализация проблемы позволяет злоумышленникам выполнять произвольные программы, используя уязвимый Metro сервер, который по умолчанию принимает запросы. Это свидетельствует о необходимости повышенной безопасности на этапе разработки.
Исправление и патч
Уязвимость получила критическую оценку 9.8 по CVSS и затрагивает версии пакета от 4.8.0 до 20.0.0-alpha.2. Исправление было выпущено в версии 20.0.0. Эксплуатация уязвимости не требует аутентификации, что увеличивает её опасность и расширяет поверхность атаки. Эксперты из JFrog предупреждают о важности автоматизированного сканирования безопасности в цепочке поставок программного обеспечения.
Как избежать атаки
Пользователям, которые не могут немедленно обновить свои системы, рекомендуется ограничить сетевое открытое взаимодействие сервера Metro. Если конфигурация React Native не использует Metro как сервер разработки, беспокоиться не о чем. На момент публикации не было зафиксировано ни одного подтверждённого случая эксплуатации уязвимости в публичной среде.
