CVE-2025-11953 — 神龙十问 AI 深度分析摘要

🚨 **本质**：React Native CLI 默认绑定外部接口 + 端点存在 **OS 命令注入**。 💥 **后果**：攻击者发送 POST 请求即可 **执行任意系统命令**，导致 **远程代码执行 (RCE)**。

🔍 **CWE**：CWE-78 (OS 命令注入)。 📍 **缺陷点**：Metro 开发服务器暴露的 `/open-url` 端点未对输入进行充分 sanitization，且默认监听 **0.0.0.0** (外部接口)。

📦 **组件**：`@react-native-community/cli-server-api`。 📅 **版本**：**[4.8.0, 20.0.0)** 之间的所有版本均受影响。

👑 **权限**：以 **开发者机器当前用户权限** 执行命令。 📂 **数据**：可读取/修改项目文件、窃取密钥、安装恶意软件，完全控制开发环境。

🚪 **门槛**：**极低**。 🔑 **认证**：**无需认证** (PR:N)。 🌐 **网络**：**远程** (AV:N)。 🖱️ **交互**：**无需用户交互** (UI:N)。

🧪 **PoC**：**已有现成 Exploit**。 🔗 多个 GitHub 仓库 (如 JFrog, B1ack4sh) 提供了完整的 **Proof-of-Concept** 代码和演示。

🔎 **自查**：检查是否运行受影响版本的 CLI。 🛡️ **扫描**：使用 SAST/DAST 工具检测 `/open-url` 端点的命令注入风险；检查 Metro 服务器是否绑定 **非 localhost** 地址。

🛠️ **补丁**：**已修复**。 📝 官方已发布补丁 (Commit: 15089907d1f1301b22c72d7f68846a2ef20df547)，建议升级至 **20.0.0 或更高版本**。

🚧 **临时规避**： 1. 确保 Metro 服务器仅绑定 **127.0.0.1** (localhost)。 2. 在开发环境中禁用不必要的 CLI 服务暴露。 3. 限制开发机器的网络访问权限。

🔥 **优先级**：**极高 (Critical)**。 ⚠️ **CVSS**：**9.8**。 💡 **建议**：**立即升级** CLI 版本。由于无需认证且可远程利用，对开发环境构成直接威胁。