Detalhes sobre uma falha crítica de segurança, agora corrigida, foram revelados no popular pacote npm "@react-native-community/cli".
A vulnerabilidade poderia ser explorada para executar comandos maliciosos no sistema operacional (OS) sob certas condições.
Segundo Or Peles, pesquisador sênior de segurança da JFrog, em relatório compartilhado com o The Hacker News: "A vulnerabilidade permite que atacantes remotos e não autenticados executem facilmente comandos arbitrários no OS da máquina que roda o servidor de desenvolvimento do react-native-community/cli, representando um risco significativo para os desenvolvedores."
Identificada como
CVE-2025-11953
, a falha recebeu uma pontuação CVSS de 9,8 em 10, indicando gravidade crítica.
Ela afeta as versões de 4.8.0 até 20.0.0-alpha.2 do pacote "@react-native-community/cli-server-api" e foi corrigida na versão 20.0.0, lançada no início do mês passado.
Mantido pela Meta, este pacote de ferramentas de linha de comando é essencial para desenvolvedores que constroem aplicações móveis com React Native, registrando entre 1,5 e 2 milhões de downloads semanais.
De acordo com a empresa de segurança especializada em cadeias de suprimentos de software, a falha decorre do fato de que o servidor de desenvolvimento Metro, usado para compilar o código JavaScript e os assets do React Native, conecta-se por padrão a interfaces externas — e não apenas ao localhost — expondo um endpoint "/open-url" vulnerável à injeção de comandos no OS.
Peles explica: "O endpoint '/open-url' do servidor processa requisições POST que incluem valores fornecidos pelo usuário, os quais são passados para a função insegura open() do pacote open, do NPM, causando a execução de comandos no sistema operacional."
Assim, um invasor remoto não autenticado pode explorar a falha enviando uma requisição POST especialmente craftada para o servidor, executando comandos arbitrários.
Em sistemas Windows, os atacantes podem rodar comandos shell com argumentos totalmente controlados, enquanto em Linux e macOS a exploração permite executar binários arbitrários com controle limitado sobre os parâmetros.
Embora o problema já tenha sido corrigido, desenvolvedores que utilizam React Native em frameworks que não dependem do Metro como servidor de desenvolvimento não estão vulneráveis.
"A vulnerabilidade zero-day é especialmente perigosa devido à facilidade de exploração, ausência de requisitos de autenticação e ampla superfície de ataque", alerta Peles.
"Ela expõe riscos críticos presentes em códigos de terceiros."
Para equipes de desenvolvimento e segurança, essa situação reforça a importância da adoção de varreduras de segurança automatizadas e abrangentes na cadeia de suprimentos de software, garantindo que falhas de fácil exploração sejam identificadas e corrigidas antes de afetarem a organização.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...