React Native CLI远程命令执行漏洞CVE-2025-11953

React Native CLI是React Native自带的一个脚手架工具，作为一个Node.js插件，可以帮助开发者快速的从0开始创建一个完整的RN项目。

一、基本情况

React Native CLI是React Native的命令行工具，作为一个非常重要的工具，可以用于方便的创建、构建、运行和调试 React Native 应用。

开发者通过 React Native CLI 可以快速创建基于 React Native 的应用，并且可以方便地进行调试和打包，推荐开发者在开发过程中使用。

栋科技漏洞库关注到 React Native CLI 受影响版本中存在一个远程命令执行漏洞，该漏洞被追踪为CVE-2025-11953，CVSS 3.X评分9.8。

二、漏洞分析

CVE-2025-11953是存在于 React Native CLI 远程命令执行漏洞，服务器暴露了一个端点，该端点容易受到操作系统命令注入漏洞的影响。

漏洞源于 React Native CLI 中内置的 Metro Development Server 默认绑定的外部接口对用户输入的不当处理，可能执行任意可执行文件。

具体来说，React Native 社区 CLI 开启的 Metro Development Server 默认绑定到了外部接口，并暴露了一个存在OS命令注入漏洞的端点。

这意味着开发者使用CLI启动本地React Native项目时，本应仅本地使用的Metro服务器可能被外部网络访问，存在操作系统命令注入风险。

同一网络中的未认证攻击者（或任何能通过网络访问开发者机器的人）可利用暴露的端点发送特制POST请求，在主机系统执行任意命令。

这就导致攻击者可以直接请求并运行任意可执行文件的风险；而在Windows系统上，攻击者还可以执行带有完全受控参数的任意shell命令。

在Windows系统上，这可能升级为任意PowerShell或CMD命令执行，使攻击者能够安装恶意软件、窃取凭证或者进一步渗透开发者环境。

三、影响范围

4.8.0 <= React Native CLI < 20.0.0

四、修复建议

React Native CLI >= 20.0.0

五、参考链接

管理员已设置登录后刷新可查看