Уязвимость в React Native Community CLI угрожает безопасности проектов

5 ноября команда JFrog объявила о обнаружении уязвимости CVE-2025-11953 в инструментах командной строки React Native Community CLI, используемых для создания мобильных приложений. Уязвимость, получившая высокий рейтинг 9.8 по CVSS, была найдена в серверном компоненте пакета @react-native-community/cli. С учетом того, что пакет скачивается около двух миллионов раз в неделю, под угрозой могут оказаться множество проектов и устройств разработчиков.

Уязвимость проявляется при запущенном Metro dev-server, позволяя выполнить произвольные системные команды через неаутентифицированный POST-запрос. Проблема усугубляется тем, что Metro доступен не только локально, но и извне. Разработчики уже выпустили исправление в версии 20.0.0, и пользователям рекомендуется обновиться как можно скорее.

Эта ситуация подчеркивает риски, связанные с зависимостями и важность их обновления для безопасности приложений.

Помогите проекту, поделитесь с друзьями ;)

Добавить комментарий