React Native CLI 重大漏洞，數百萬開發者面臨遠端攻擊風險

資安研究人員揭露熱門 npm 套件「@react-native-community/cli」的重大安全漏洞。該漏洞已修補，但在特定條件下，攻擊者可利用它在受害者系統上執行惡意作業系統指令。

資安業者 JFrog 資深研究員 Or Peles 指出，該漏洞讓未經驗證的遠端攻擊者能輕易在執行 react-native-community/cli 開發伺服器的機器上觸發任意作業系統指令，對開發者構成重大威脅。

此漏洞編號為 CVE-2025-11953，CVSS 評分高達 9.8 分(滿分 10 分)，屬嚴重等級。漏洞影響「@react-native-community/cli-server-api」套件 4.8.0 至 20.0.0-alpha.2 版本，已在上月初發布的 20.0.0 版本中修補。

這個由 Meta 維護的命令列工具套件可協助開發者建置 React Native 行動應用程式，每週下載量達 150 萬至 200 萬次。

漏洞成因與攻擊手法

軟體供應鏈安全公司指出，此漏洞源自 React Native 用於建置 JavaScript 程式碼和資產的 Metro 開發伺服器。該伺服器預設綁定至外部介面（而非 localhost），並暴露一個易受作業系統指令注入攻擊的「/open-url」端點。

伺服器的「/open-url」端點會處理 POST 請求，其中包含使用者輸入的值。這個值會被傳遞給 open NPM 套件提供的不安全 open() 函式，進而導致作業系統指令執行。

攻擊者可利用此漏洞，向伺服器發送特製的 POST 請求來執行任意指令。在 Windows 系統上，攻擊者可執行具有完全控制參數的任意 shell 指令；在 Linux 和 macOS 上，則可執行參數控制受限的任意二進位檔案。

影響範圍與防護建議

雖然此問題已修補，使用不依賴 Metro 開發伺服器框架的開發者則不受影響。

專家指出，這個零時差漏洞特別危險，原因有三：容易利用、無需身分驗證、攻擊面廣泛。此事件凸顯了第三方程式碼中潛藏的重大風險。

對開發和資安團隊而言，這起事件突顯了在軟體供應鏈中進行自動化全面安全掃描的必要性，確保容易利用的漏洞在影響組織前就能修補。

本文轉載自 TheHackerNews。