CVE-2025-11953:React Native CLI任意操作系统命令注入漏洞

漏洞概述

CVE-2025-11953是一个严重级别的安全漏洞,影响@react-native-community/cli包。该漏洞存在于React Native CLI启动的Metro开发服务器中,该服务器默认绑定到外部接口。

受影响版本

  • 20.0.0-alpha.0 至 20.0.0(不含)
  • 19.0.0-alpha.0 至 19.1.2(不含)
  • 18.0.0 至 18.0.1(不含)
  • 17.0.1以下版本

已修复版本

  • 20.0.0
  • 19.1.2
  • 18.0.1
  • 17.0.1

技术细节

漏洞原理

Metro开发服务器暴露了一个易受操作系统命令注入攻击的端点。未经身份验证的网络攻击者可以向该服务器发送POST请求,从而运行任意可执行文件。

特别说明:在Windows系统上,攻击者还可以使用完全控制的参数执行任意shell命令。

安全评分

  • CVSS总体评分:9.8/10(严重级别)
  • 攻击向量:网络
  • 攻击复杂度:低
  • 所需权限:无
  • 用户交互:无
  • 影响范围:未改变
  • 机密性影响:高
  • 完整性影响:高
  • 可用性影响:高

弱点分类

CWE-78:操作系统命令中使用的特殊元素的不当中和(操作系统命令注入)

产品使用来自上游组件的外部影响输入构建全部或部分操作系统命令,但在发送到下游组件时,未能中和或错误地中和可能修改预期操作系统命令的特殊元素。

参考链接

  • https://nvd.nist.gov/vuln/detail/CVE-2025-11953
  • https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability
  • https://github.com/react-native-community/cli/releases/tag/v20.0.0

漏洞识别信息

  • CVE ID:CVE-2025-11953
  • GHSA ID:GHSA-399j-vxmf-hjvr
  • 源代码:react-native-community/cli

致谢

感谢以下安全分析师的贡献:

  • Malayke
  • cylewaitforit
    更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
    对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
Logo

Agent 垂直技术社区,欢迎活跃、内容共建。

更多推荐