CVE-2025-11953
Mis à jour :
Exécution de commandes arbitraires via @react-native-community/cli
Une faille de sécurité, identifiée comme CVE-2025-11953, affecte les versions 4.8.0 à 20.0.0-alpha.2 du paquet NPM @react-native-community/cli. Cette vulnérabilité provient du serveur de développement Metro, utilisé par React Native, qui se lie par défaut aux interfaces externes. Un point d’accès (“/open-url”) exposé permet à des attaquants externes et non authentifiés d’injecter des commandes système.
Points clés :
- Le serveur de développement Metro, par défaut, écoute sur des interfaces externes.
- Un endpoint “/open-url” est vulnérable à l’injection de commandes.
Vulnérabilités :
- CVE-2025-11953 : Permet à des attaquants réseau non authentifiés d’exécuter des commandes arbitraires sur le système ciblé via des requêtes POST au point d’accès “/open-url”. L’exploitation est particulièrement aisée sur Windows, permettant une exécution de commandes shell avec des arguments entièrement contrôlés. Les systèmes macOS et Linux présentent des vecteurs d’exploitation légèrement plus complexes mais une exécution de commandes arbitraires reste envisageable.
Recommandations :
- La vulnérabilité a été corrigée dans la version 20.0.0 du paquet. Il est impératif de mettre à jour
@react-native-community/clivers une version sécurisée pour éliminer ce risque.