Er zijn details naar voren gekomen over een nu gepatchte kritieke beveiligingsfout in het populaire “@react-native-community/cli” npm-pakket dat mogelijk kan worden misbruikt om onder bepaalde omstandigheden kwaadaardige besturingssysteemopdrachten uit te voeren.
“Door de kwetsbaarheid kunnen niet-geauthenticeerde aanvallers op afstand eenvoudig willekeurige OS-opdrachten uitvoeren op de machine waarop de ontwikkelserver van react-native-community/cli draait, wat een aanzienlijk risico voor ontwikkelaars vormt”, zegt JFrog Senior Security Researcher Or Peles in een rapport gedeeld met The Hacker News.
De kwetsbaarheid, bijgehouden als CVE-2025-11953, heeft een CVSS-score van 9,8 op een maximum van 10,0, wat een kritieke ernst aangeeft. Het heeft ook invloed op de “@react-native-community/cli-server-api” pakketversies 4.8.0 tot en met 20.0.0-alpha.2, en is gepatcht in versie 20.0.0 die begin vorige maand werd uitgebracht.
Met het opdrachtregeltoolpakket, dat wordt onderhouden door Meta, kunnen ontwikkelaars mobiele React Native-applicaties bouwen. Het ontvangt ongeveer 1,5 miljoen tot 2 miljoen downloads per week.
Volgens het beveiligingsbedrijf voor de softwareleveringsketen komt de kwetsbaarheid voort uit het feit dat de Metro-ontwikkelingsserver die door React Native wordt gebruikt om JavaScript-code en assets te bouwen, standaard aan externe interfaces bindt (in plaats van localhost) en een “/open-url”-eindpunt blootlegt dat vatbaar is voor OS-opdrachtinjectie.
“Het ‘/open-url’-eindpunt van de server verwerkt een POST-verzoek dat een gebruikersinvoerwaarde bevat die wordt doorgegeven aan de onveilige open()-functie van het open NPM-pakket, wat de uitvoering van de OS-opdracht zal veroorzaken, “zei Peles.
Als gevolg hiervan zou een niet-geverifieerde netwerkaanvaller de fout kunnen misbruiken door een speciaal vervaardigd POST-verzoek naar de server te sturen en willekeurige opdrachten uit te voeren. Op Windows kunnen de aanvallers ook willekeurige shell-opdrachten uitvoeren met volledig gecontroleerde argumenten, terwijl dit op Linux en macOS kan worden misbruikt om willekeurige binaire bestanden uit te voeren met beperkte parametercontrole.
Hoewel het probleem inmiddels is verholpen, ondervinden ontwikkelaars die React Native gebruiken met een raamwerk dat niet afhankelijk is van Metro als ontwikkelserver geen gevolgen.
“Deze zero day-kwetsbaarheid is bijzonder gevaarlijk vanwege het gemak waarmee deze kan worden uitgebuit, het gebrek aan authenticatievereisten en het brede aanvalsoppervlak”, aldus Peles. “Het legt ook de kritieke risico’s bloot die verborgen zijn in code van derden.”
“Voor ontwikkelaars- en beveiligingsteams onderstreept dit de behoefte aan geautomatiseerde, uitgebreide beveiligingsscans in de hele softwaretoeleveringsketen om ervoor te zorgen dat gemakkelijk te exploiteren fouten worden verholpen voordat ze impact hebben op uw organisatie.”
