新聞
觀點
解決方案
活動
訂閱電子報
資安人粉絲團
聯絡我們
關於我們
合作詢問
隱私權政策
香港商法蘭克福展覽有限公司台灣傳媒分公司
110 台北市信義區市民大道六段288號8F
886-2-8729-1099
新聞
觀點
解決方案
活動
訂閱電子報
訂閱電子報
新聞
觀點
解決方案
活動
新聞
您現在位置 : 首頁 >
新聞
React Native CLI 重大漏洞,數百萬開發者面臨遠端攻擊風險
2025 / 11 / 12
編輯部
資安研究人員揭露熱門
npm 套件「@react-native-community/cli」
的重大安全漏洞。該漏洞已修補,但在特定條件下,攻擊者可利用它在受害者系統上執行惡意作業系統指令。
資安業者 JFrog 資深研究員 Or Peles 指出,該漏洞讓未經驗證的遠端攻擊者能輕易在執行 react-native-community/cli 開發伺服器的機器上觸發任意作業系統指令,對開發者構成重大威脅。
此漏洞編號為 CVE-2025-11953,CVSS 評分高達 9.8 分(滿分 10 分),屬嚴重等級。漏洞影響「@react-native-community/cli-server-api」套件 4.8.0 至 20.0.0-alpha.2 版本,已在上月初發布的 20.0.0 版本中修補。
這個由 Meta 維護的命令列工具套件可協助開發者建置 React Native 行動應用程式,每週下載量達 150 萬至 200 萬次。
漏洞成因與攻擊手法
軟體供應鏈安全公司指出,此漏洞源自 React Native 用於建置 JavaScript 程式碼和資產的 Metro 開發伺服器。該伺服器預設綁定至外部介面(而非 localhost),並暴露一個易受作業系統指令注入攻擊的「/open-url」端點。
伺服器的「/open-url」端點會處理 POST 請求,其中包含使用者輸入的值。這個值會被傳遞給 open NPM 套件提供的不安全 open() 函式,進而導致作業系統指令執行。
攻擊者可利用此漏洞,向伺服器發送特製的 POST 請求來執行任意指令。在 Windows 系統上,攻擊者可執行具有完全控制參數的任意 shell 指令;在 Linux 和 macOS 上,則可執行參數控制受限的任意二進位檔案。
影響範圍與防護建議
雖然此問題已修補,使用不依賴 Metro 開發伺服器框架的開發者則不受影響。
專家指出,這個零時差漏洞特別危險,原因有三:
容易利用
、
無需身分驗證
、
攻擊面廣泛
。此事件凸顯了第三方程式碼中潛藏的重大風險。
對開發和資安團隊而言,這起事件突顯了在軟體供應鏈中進行自動化全面安全掃描的必要性,確保容易利用的漏洞在影響組織前就能修補。
本文轉載自 TheHackerNews。
React Native CLI
npm
最新活動
2026.07.22
2026 政府資安論壇
2026.07.08
AI工具應用資安風險評估管理
2026.07.09
7/9-7/10【軟體開發安全意識與 .NET/Java 安全程式開發】兩日集訓班
2026.07.14
2026迎戰合規新局上市櫃企業資安治理與風險評估實戰解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.15
資安新興技術、AI應用與全球發展趨勢解析
2026.07.29
半導體與高科技園區資安防護
2026.07.30
Azure 雲端轉型研討會|雲端 x AI x 資安
看更多活動
大家都在看
超越人類監督:前沿 AI 時代的新挑戰與應對
傳統防火牆只看 IP,語意防火牆看「意圖」:林宜隆教授解析神經符號架構與 AI 治理三標準如何聯手對抗工業化攻擊
群暉科技 Synology 修補 MailPlus Server 三項重大漏洞,逾 2,100 台暴露於網路
PTC Windchill 遠端程式碼執行漏洞納入 KEV 目錄,攻擊者仍持續部署 Web Shell
Sophos 與 Rubrik 攜手推出由 Rubrik Cyber Resilience 技術支援的 Microsoft 365 備份與復原服務
資安人科技網
文章推薦
中國 LLM 漏洞發現能力逼近前沿模型,專家憂攻守差距持續擴大
幻象域名搶註:LLM 幻覺催生新型供應鏈威脅
Microsoft 加速後量子密碼學部署時程,目標 2029 年完成關鍵產品移轉