- CVE-2025-11953 memungkinkan injeksi perintah OS melalui server Metro di React Native CLI
- Mempengaruhi versi 4.8.0–20.0.0-alpha.2; ditambal di 20.0.0; eksploitasi tidak memerlukan otentikasi
- Belum ada konfirmasi eksploitasi; batasi paparan server atau perbarui segera
Sangat populer paket npm membawa kerentanan tingkat keparahan kritis yang memungkinkan pelaku ancaman, dalam skenario tertentu, menjalankan perintah berbahaya, demikian peringatan para ahli.
Peneliti keamanan siber dari JFrog mengatakan paket yang dimaksud disebut “@react-native-community/cli”, dibuat untuk membantu pengembang membangun aplikasi seluler React Native, dan mendapatkan hingga dua juta unduhan dalam seminggu.
Di NVD dijelaskan bahwa Metro Development Server, yang dibuka oleh React Native Community CLI, mengikat antarmuka eksternal secara default. Server memaparkan titik akhir yang rentan terhadap injeksi perintah OS, sehingga pelaku ancaman mengirim permintaan POST dan menjalankan executable sewenang-wenang – artinya di Windows, penyerang juga dapat menjalankan perintah shell sewenang-wenang dengan argumen yang dikontrol sepenuhnya, dan di Linux dan macOS, di sisi lain, penyerang dapat mengeksekusi biner sewenang-wenang dengan kontrol parameter terbatas.
Bertingkah seperti hacktivist
Bug ini dilacak sebagai CVE-2025-11953, dan memiliki skor tingkat keparahan 9,8/10 (kritis). Ini mempengaruhi paket versi 4.8.0 hingga 20.0.0-alpha.2, dan telah ditambal dalam versi 20.0.0 yang dirilis awal bulan lalu. Mereka yang tidak dapat segera memperbarui titik akhirnya harus membatasi paparan jaringan server Metro.
Jika Anda menggunakan React Native dengan kerangka kerja yang tidak bergantung pada Metro sebagai server pengembangan, Anda tidak terpengaruh, hal itu dinyatakan lebih lanjut. “Kerentanan zero day ini sangat berbahaya karena kemudahan eksploitasi, kurangnya persyaratan otentikasi dan permukaan serangan yang luas,” jelas peneliti JFrog. “Ini juga mengungkap risiko penting yang tersembunyi dalam kode pihak ketiga.”
“Bagi tim pengembang dan keamanan, hal ini menggarisbawahi perlunya pemindaian keamanan otomatis dan komprehensif di seluruh rantai pasokan perangkat lunak untuk memastikan kelemahan yang mudah dieksploitasi telah diperbaiki sebelum berdampak pada organisasi Anda.”
Pada saat berita ini dimuat, belum ada laporan publik yang terkonfirmasi bahwa CVE‑2025‑11953 telah dieksploitasi di alam liar. Berbagai sumber menunjukkan bahwa meskipun kerentanannya sangat mudah dieksploitasi, aktivitas eksploitasi sebenarnya belum dapat diverifikasi.
Melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
