一、 漏洞 CVE-2025-11953 基础信息
漏洞信息
# React Native CLI 命令注入漏洞
## 漏洞概述
React Native CLI 启动的 Metro 开发服务器默认绑定到外部接口,其暴露的端点存在操作系统命令注入漏洞。
## 影响版本
所有使用 React Native CLI 并默认开启 Metro Development Server 的版本。
## 漏洞细节
- Metro Development Server 可被网络中未认证的攻击者访问。
- 通过发送精心构造的 POST 请求,攻击者可实现命令注入。
- 在 Windows 平台上,攻击者可执行任意 Shell 命令,并完全控制命令参数。
## 漏洞影响
允许未认证攻击者远程执行任意操作系统命令,可能导致设备被完全控制,存在高危安全风险。
神龙判断
是否为 Web 类漏洞: 是
判断理由:
是。这个漏洞涉及Web服务的服务端,具体来说,React Native CLI启动的Metro Development Server默认绑定到外部接口,并暴露了一个存在OS命令注入漏洞的端点。这使得未认证的网络攻击者能够通过发送POST请求来运行任意可执行文件。在Windows系统上,攻击者还可以执行带有完全受控参数的任意shell命令。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Command injection in React Native Community CLI allows remote attackers to perform remote code execution by sending HTTP requests
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The Metro Development Server, which is opened by the React Native Community CLI, binds to external interfaces by default. The server exposes an endpoint that is vulnerable to OS command injection. This allows unauthenticated network attackers to send a POST request to the server and run arbitrary executables. On Windows, the attackers can also execute arbitrary shell commands with fully controlled arguments.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
React Native Community CLI 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
React Native Community CLI是React Native Community开源的一个命令行工具。 React Native Community CLI存在安全漏洞,该漏洞源于默认绑定外部接口且端点存在OS命令注入漏洞,可能导致未经验证的攻击者发送POST请求执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-11953 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | CVE-2025-11953 demonstration: Critical RCE vulnerability in React Native CLI (CVSS 9.8). Educational security research with proof-of-concept exploits and mitigation strategies. | https://github.com/SaidBenaissa/cve-2025-11953-vulnerability-demo | POC详情 |
| 2 | CVE-2025-11953 | https://github.com/B1ack4sh/Blackash-CVE-2025-11953 | POC详情 |
| 3 | Comprehensive Proof of Concept collection for CVE-2025-11953, CVE-2025-59287, CVE-2025-8941 with exploitation frameworks in Python, C, Bash, PowerShell | https://github.com/N3k0t-dev/PoC-CVE-collection | POC详情 |
| 4 | CVE-2025-11953 | https://github.com/Ashwesker/Blackash-CVE-2025-11953 | POC详情 |
| 5 | None | https://github.com/Mr-In4inci3le/CVE-2025-11953-POC- | POC详情 |
| 6 | None | https://github.com/boroeurnprach/CVE-2025-11953-PoC | POC详情 |
三、漏洞 CVE-2025-11953 的情报信息
标题: Page not found | JFrog -- 🔗来源链接
标签:technical-description
神龙速读:从这张网页截图中,可以获取到以下关于漏洞的关键信息: - **HTTP状态码**: 404 - 表示该页面未被找到,可能是一个断开的链接或被移动的资源。 - **错误信息**: "This Frog is in the dark" - 这是一个定制的404错误信息,暗示所请求的页面不存在。 - **联系按钮**: "Contact Us" - 提供了一种方式来报告问题或获取帮助,如果网站管理员不知道这个问题的话。 - **版权信息**: "© 2025 JFrog Ltd All Rights Reserved" - 指明了该页面的合法版权方是JFrog Ltd,并标示了当前的年份。 Markdown简洁版: ``` - **HTTP Status Code**: 404 - **Error Message**: "This Frog is in the dark" - **Contact Option**: "Contact Us" button - **Copyright Notice**: © 2025 JFrog Ltd All Rights Reserved ``` 除此之外,从这个404页面中并不能直接获取到具体的漏洞信息。但它表明该网站可能有断开的链接或已移动的资源未被重定向,这是一个潜在的问题,但不直接等同于安全漏洞。如果你正在寻找安全漏洞,这可能只是一个显示配置错误或内容管理问题的地方。
标题: fix: Add stricter URL validation to openURLMiddleware (#2697) · react-native-community/cli@1508990 · GitHub -- 🔗来源链接
标签:patch
神龙速读:- **提交ID**:1508990 - **提交者**:huntie - **提交时间**:2023年8月4日 - **提交标题**:fix: Add stricter URL validation to openURLMiddleware (#2697) - **关联Issue**:#2697 ### 主要变更 - **文件路径**:packages/cli-server-api/src/openURLMiddleware.ts - **变更类型**:新增代码 - **变更内容**: - **增加严格URL校验** - **校验URL协议**:确保协议为`http`或`https` - **错误处理**:对无效URL协议和格式返回400状态码及错误信息 ### 关键信息摘要 此提交添加了对URL的有效性检查,特别是对URL协议的限制,防止因协议不正确导致的安全问题和异常行为。
- https://nvd.nist.gov/vuln/detail/CVE-2025-11953
四、漏洞 CVE-2025-11953 的评论
暂无评论