CVE-2025-11953

plus petit que 1 minute de lecture

Mis à jour : February 05, 2026

Détournement du serveur de développement React Native

Une faille de sécurité (CVE-2025-11953) a été identifiée dans le package NPM @react-native-community/cli, affectant les versions 4.8.0 à 20.0.0-alpha.2. Cette vulnérabilité concerne le serveur de développement Metro utilisé par React Native.

Points clés :

Le serveur Metro, activé par défaut, peut écouter sur des interfaces externes.
Un endpoint “/open-url” est exposé et permet l’injection de commandes système.

Vulnérabilités :

CVE-2025-11953 : Injection de commandes OS via l’endpoint “/open-url”. Permet à des attaquants non authentifiés sur le réseau d’exécuter des commandes arbitraires sur les systèmes cibles. L’impact est particulièrement élevé sur Windows, où des commandes shell complètes peuvent être exécutées. Des scénarios d’exécution de commandes arbitraires sont également probables sur macOS et Linux.

Recommandations :

Mettre à jour le package @react-native-community/cli vers la version 20.0.0 ou supérieure.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-11953

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)