5 Novembre 2025 13:47    Alert

React Native CLI CVE-2025-11953: OS command injection critica nel Metro Development Server, RCE non autenticato con PoC pubblico

JFrog Security ha divulgato il 3 novembre 2025 la vulnerabilità critica CVE-2025-11953 (CVSS 9.8) nella @react-native-community/cli-server-api (pacchetto NPM con ~2 milioni di download settimanali). Il bug risiede nel Metro Development Server, componente chiave dello sviluppo React Native, che per default si connette a tutte le interfacce di rete sulla porta 8081 senza protezione.

Il difetto è una forma di injection nell'endpoint /open-url: quando uno sviluppatore fa debugging, il server riceve una POST request con parametri (ad esempio file e lineNumber) che vengono passati a funzioni non sicure senza adeguata sanitizzazione. In determinate condizioni un attaccante sulla stessa rete (o da Internet, se il server è esposto) può costruire una richiesta apposita che porta all'esecuzione non autorizzata di programmi sulla macchina di sviluppo.

Su ambienti Windows, macOS e Linux questo comportamento può consentire l'esecuzione arbitraria di binari locali, con potenziale compromissione completa del sistema di sviluppo.

Impatto:

  • Compromissione della macchina di sviluppo, accesso a sorgenti, chiavi API, credenziali
  • Installazione di malware, backdoor, miner di criptovalute
  • Rischio per la supply chain: codice malevolo può essere integrato nel software sviluppato
  • Migliaia di developer workstation e ambienti CI/CD vulnerabili se usando versioni < 20.0.0

Versioni vulnerabili:

  • @react-native-community/cli: 4.8.0 – 20.0.0-alpha.2
  • Patch disponibile: versione 20.0.0 o superiore (commit 15089907d1f)

Azioni consigliate:

  • Aggiornare immediatamente @react-native-community/cli a v20.0.0 o superiore in tutti i progetti
  • Se non è possibile aggiornare subito, lanciare Metro con flag --host 127.0.0.1 per legare il servizio solo a localhost e ridurre l'esposizione di rete
  • Controllare la versione globale installata: npm list -g @react-native-community/cli
  • Monitorare i log del Metro server per richieste POST sospette verso l’endpoint /open-url
  • Segmentare le workstation di sviluppo e non esporre il server su Internet o su reti non affidabili
  • Verificare cronologia di accessi e processi anomali che possano indicare l’esecuzione non autorizzata di programmi di sistema o strumenti da riga di comando

Conclusione:

la vulnerabilità rappresenta un rischio concreto per le workstation di sviluppo e gli ambienti CI/CD che utilizzano Metro senza adeguate misure di hardening. È fondamentale applicare tempestivamente gli aggiornamenti e limitare l’esposizione di rete del servizio.

Fonti: ACN