CVE-2025-11953

Nome do Software Vulnerável e Versões Afetadas @react-native-community/cli-server-api versões 4.8.0 até 20.0.0-alpha.2 @react-native-community/cli versões 4.8.0 até 20.0.0-alpha.2

Descrição Uma falha de injeção de comando de SO existe no Metro Development Server, que é aberto pelo React Native Community CLI. O servidor vincula-se a interfaces externas por padrão, permitindo que atacantes de rede não autenticados enviem uma requisição POST especialmente formatada para o endpoint '/open-url'. A vulnerabilidade ocorre porque o parâmetro url no corpo da requisição é passado para a função open() sem a devida validação ou sanitização. No Windows, isso permite a execução de comandos de shell arbitrários com argumentos totalmente controlados. No Linux e macOS, pode levar à execução de executáveis arbitrários ou à exploração de esquemas de URI (como file://). Aproximadamente 3.500 servidores desprotegidos foram identificados globalmente. A exploração no mundo real foi observada desde dezembro de 2025, onde atacantes usaram a falha para desativar o Microsoft Defender através do comando Add-MpPreference e implantar malware baseado em Rust em estações de trabalho Windows e Linux.

Recomendações Atualize o @react-native-community/cli-server-api e o @react-native-community/cli para a versão 20.0.0 ou posterior. Como solução temporária, inicie o servidor Metro vinculado apenas ao localhost usando o comando npx react-native start --host 127.0.0.1 para bloquear o acesso externo. Restrinja o acesso ao endpoint '/open-url' usando regras de IDS/WAF para bloquear requisições POST onde o parâmetro url não comece com http:// ou https://.