Han surgido detalles sobre una defecto de seguridad crítica ahora parcheada en el popular paquete npm «@react-native-community/cli» que podría explotarse para ejecutar comandos maliciosos del sistema operante (SO) bajo ciertas condiciones.
«La vulnerabilidad permite a atacantes remotos no autenticados activar fácilmente la ejecución arbitraria de comandos del sistema operante en la máquina que ejecuta el servidor de exposición de reaccionar-native-community/cli, lo que representa un aventura significativo para los desarrolladores», dijo el investigador senior de seguridad de JFrog, Or Peles, en un referencia compartido con The Hacker News.
La vulnerabilidad, rastreada como CVE-2025-11953, lleva una puntuación CVSS de 9,8 de un mayor de 10,0, lo que indica una reserva crítica. Todavía afecta a las versiones del paquete «@react-native-community/cli-server-api» 4.8.0 a 20.0.0-alpha.2, y se ha parcheado en la lectura 20.0.0 lanzazo a principios del mes pasado.
El paquete de herramientas de diámetro de comandos, mantenido por Meta, permite a los desarrolladores crear aplicaciones móviles React Native. Recibe aproximadamente entre 1,5 y 2 millones de descargas por semana.
Según la empresa de seguridad de la esclavitud de suministro de software, la vulnerabilidad surge del hecho de que el servidor de exposición Medida utilizado por React Native para crear código y activos JavaScript se vincula a interfaces externas de forma predeterminada (en zona de localhost) y expone un punto final «/open-url» que es susceptible a la inyección de comandos del sistema operante.
«El punto final ‘/open-url’ del servidor maneja una solicitud POST que incluye un valencia de entrada del usufructuario que se pasa a la función open() insegura proporcionada por el paquete open NPM, lo que provocará la ejecución del comando del sistema operante», dijo Peles.
Como resultado, un atacante de red no autenticado podría convertir la defecto en un armamento para remitir una solicitud POST especialmente diseñada al servidor y ejecutar comandos arbitrarios. En Windows, los atacantes asimismo pueden ejecutar comandos de shell arbitrarios con argumentos totalmente controlados, mientras que en Linux y macOS, se puede aprovecharse de ellos para ejecutar archivos binarios arbitrarios con control de parámetros acotado.
Si correctamente el problema ya se solucionó, los desarrolladores que usan React Native con un ámbito que no depende de Medida como servidor de exposición no se ven afectados.
«Esta vulnerabilidad de día cero es particularmente peligrosa correcto a su facilidad de explotación, la equivocación de requisitos de autenticación y su amplia superficie de ataque», afirmó Peles. «Todavía expone los riesgos críticos ocultos en el código de terceros».
«Para los equipos de exposición y seguridad, esto subraya la requisito de un exploración de seguridad integral y automatizado en toda la esclavitud de suministro de software para certificar que los fallos fácilmente explotables se solucionen antaño de que afecten a su ordenamiento».
