- CVE-2025-11953, React Native CLI’de Metro sunucusu aracılığıyla işletim sistemi komut enjeksiyonuna izin verir
- 4.8.0–20.0.0-alpha.2 sürümlerini etkiler; 20.0.0’da yamalandı; istismar kimlik doğrulama gerektirmez
- Henüz onaylanmış bir kullanım yok; sunucunun maruz kalmasını kısıtlayın veya hemen güncelleyin
Yaygın olarak popüler npm paketi Uzmanlar, tehdit aktörlerinin belirli senaryolarda kötü amaçlı komutlar çalıştırmasına olanak tanıyan kritik önemde bir güvenlik açığı taşıdığı konusunda uyardı.
JFrog’un siber güvenlik araştırmacıları, söz konusu paketin adının “@react-native-community/cli” olduğunu, geliştiricilerin React Native mobil uygulamalar oluşturmasına yardımcı olmak için yapıldığını ve haftada iki milyona kadar indirme elde edildiğini söylüyor.
NVD’de, React Native Community CLI tarafından açılan Metro Geliştirme Sunucusunun varsayılan olarak harici arayüzlere bağlandığı açıklanmaktadır. Sunucu, işletim sistemi komut enjeksiyonuna karşı savunmasız bir uç noktayı açığa çıkararak tehdit aktörlerinin POST isteği göndermesine ve isteğe bağlı yürütülebilir dosyalar çalıştırmasına olanak tanır; bu, Windows’ta saldırganların aynı zamanda tamamen denetlenen bağımsız değişkenlerle isteğe bağlı kabuk komutları yürütebileceği ve Linux ve macOS’ta ise sınırlı parametre kontrolüyle isteğe bağlı ikili dosyaları çalıştırabileceği anlamına gelir.
Hacktivist gibi davranmak
Hata CVE-2025-11953 olarak izleniyor ve 9,8/10 (kritik) önem derecesine sahip. 4.8.0 ile 20.0.0-alpha.2 arasındaki paket sürümlerini etkiliyor ve geçen ayın başında yayımlanan 20.0.0 sürümüne yama uygulandı. Uç noktalarını hemen güncelleyemeyenler, Metro sunucusunun ağ erişimini kısıtlamalıdır.
React Native’i geliştirme sunucusu olarak Metro’ya dayanmayan bir çerçeveyle kullanıyorsanız etkilenmezsiniz, ayrıca belirtildi. JFrog’un araştırmacıları, “Bu sıfır gün güvenlik açığı, kullanım kolaylığı, kimlik doğrulama gereksinimlerinin bulunmaması ve geniş saldırı yüzeyi nedeniyle özellikle tehlikelidir” dedi. “Aynı zamanda üçüncü taraf kodlarında gizlenen kritik riskleri de ortaya çıkarıyor.”
“Geliştirici ve güvenlik ekipleri için bu, kolayca yararlanılabilen kusurların kuruluşunuzu etkilemeden önce düzeltilmesini sağlamak için yazılım tedarik zinciri boyunca otomatik, kapsamlı güvenlik taramasına duyulan ihtiyacın altını çiziyor.”
Bu haberin yazıldığı sırada, CVE‑2025‑11953’ün doğada istismar edildiğine dair doğrulanmış kamuya açık bir rapor yoktu. Pek çok kaynak, güvenlik açığından yararlanılabilirliğin yüksek olduğunu ancak gerçek yararlanma etkinliğinin henüz doğrulanmadığını gösteriyor.
Aracılığıyla Hacker Haberleri
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.