React Native Community CLI中一个新披露的严重漏洞(CVE-2025-11953,CVSS评分9.8) 使开发者面临远程代码执行(RCE)风险,该漏洞源于Metro开发服务器默认绑定外部接口。此漏洞影响4.8.0至20.0.0之前的所有版本,波及每周下载量超170万次的生态系统。
根据CVE记录:“React Native Community CLI启动的Metro开发服务器默认绑定外部接口,且服务器暴露的端点存在操作系统命令注入漏洞。”这意味着当开发者使用CLI启动本地React Native项目时,本应仅本地使用的Metro服务器可能被外部网络访问。
同一网络中的未认证攻击者(或任何能通过网络访问开发者机器的人)可利用暴露的端点发送特制POST请求,在主机操作系统上执行任意命令。
“这允许未认证的网络攻击者向服务器发送POST请求并运行任意可执行文件。在Windows系统上,攻击者还能执行参数完全可控的任意shell命令。”
在Windows系统上,这可能升级为任意PowerShell或CMD命令执行,使攻击者能够安装恶意软件、窃取凭证或进一步渗透开发者环境。
漏洞影响范围
- 受影响版本:4.8.0至20.0.0之前的所有版本
- 修复版本:20.0.0及更高版本
鉴于React Native CLI在跨平台移动应用开发者中的广泛采用,暴露面极大。开发机器通常存储可信凭证、SSH密钥和访问令牌,这使得该漏洞的危险性尤为突出。
修复建议:
- 立即将React Native Community CLI升级至20.0.0及以上版本。
- 临时措施:限制Metro服务器仅绑定本地回环地址(127.0.0.1),避免暴露至外部网络。
- 开发环境启用网络隔离,禁用不必要的端口暴露。
发表评论
您还未登录,请先登录。
登录