Disponibile PoC per CVE-2025-11953: rischio critico per la CLI di React Native
È stato reso pubblico un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità CVE-2025-11953, che interessa il pacchetto npm @react-native-community/cli (CLI di React Native) utilizzato per la gestione della command-line interface del noto framework JavaScript multipiattaforma. La falla è classificata come critica, con punteggi prossimi a 9.8 su 10, e rientra nella categoria Remote Code Execution (RCE), consentendo l’esecuzione di comandi arbitrari sui sistemi vulnerabili.
Nel dettaglio, la vulnerabilità riguarda il componente server che espone un endpoint vulnerabile a OS command injection, permettendo ad attaccanti remoti non autenticati di inviare richieste POST malevole e ottenere il controllo del sistema. Le versioni affette includono le release della CLI dalla 4.8.0 fino alla 20.0.0‑alpha.2, ampiamente diffuse in ambienti di sviluppo e integrazione continua basati su React Native. L’esposizione di questi ambienti, spesso ritenuti “di test”, è particolarmente critica perché gestiscono repository di codice, credenziali, chiavi di firma e pipeline di build, con un potenziale impatto diretto sulla supply chain applicativa.
Diverse fonti di threat intelligence indicano che lo sfruttamento di Metro4Shell (nome associato a CVE-2025-11953) è già stato osservato in scenari reali, con campagne come ClawHavoc che prendono di mira server di sviluppo React Native. Gli attacchi prevedono l’invio di richieste verso endpoint esposti, spesso con payload PowerShell codificati in base64 in grado di disabilitare controlli di sicurezza locali, instaurare connessioni TCP in uscita e aprire backdoor persistenti.