【安全圈】React Native CLI 零日漏洞：开发者系统面临远程攻击风险

关键词

安全漏洞

近期，安全研究公司 JFrog 发现了 React Native 移动应用开发框架中的一个严重漏洞，这一问题可能使开发者的工作站面临远程攻击风险。React Native 允许开发者使用 JavaScript 编写大部分代码，从而同时构建 iOS、Android 以及 Windows 和 macOS 平台的原生应用。在现代跨平台开发中，这一框架被广泛采用，而漏洞的存在让众多开发者暴露在潜在威胁之下。

该漏洞被追踪为 CVE-2025-11953，影响了被广泛使用的@react-native-community/cli包，这个命令行工具是开发者初始化和管理 React Native 项目的核心组件。每周，该包的下载量约为 200 万次，意味着大量开发者可能直接受到影响。漏洞的严重性被评为关键级别，CVSS 得分高达 9.8，允许远程攻击者在开发者机器上执行任意命令，从而完全控制受害系统。

技术分析显示，漏洞源于@react-native-community/cli-server-api包的 4.8.0 至 20.0.0-alpha.2 版本。在此基础上，Metro 开发服务器的默认配置进一步扩大了风险。通常情况下，Metro 服务器应仅在开发者本地运行，但错误的设置导致其默认监听来自互联网的所有连接请求，这意味着攻击者可以轻松利用漏洞进行远程代码执行。在 Windows 系统上，这种攻击可直接触发任意操作系统命令，使攻击者能够几乎无限制地操作开发者机器。

JFrog 高级安全研究员 Or Peles 表示，这一零日漏洞尤其危险，因为其利用门槛低、攻击面广，同时揭示了第三方代码中隐藏的关键风险。研究人员演示了通过漏洞执行系统自带的 calc.exe 程序的攻击实例，清晰展示了漏洞的可操作性和危害程度。

所幸，Meta 的安全团队迅速做出响应，在@react-native-community/cli-server-api20.0.0 及更高版本中修复了该漏洞。研究人员建议，开发者应立即将受影响的包升级至安全版本。如果暂时无法升级，临时解决方案是通过在启动开发服务器的命令中添加--host 127.0.0.1参数，将服务器绑定到本地，从而阻止外部访问。

这次事件再次提醒开发者，即便是常用的第三方组件，也可能存在严重安全漏洞。在软件开发过程中，安全编码规范和自动化安全扫描的重要性不容忽视，只有在生产环境上线前及时发现和修复这些漏洞，才能有效避免潜在风险。React Native 漏洞事件不仅暴露了开发工具链的安全隐患，也为业界敲响了警钟，提示开发者在追求效率的同时，不能忽视基础安全措施。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！