米サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、React Native Community コマンドラインインターフェース(CLI)に影響する重大な脆弱性を、既知の悪用されている脆弱性(KEV)カタログに追加したことを受け、警告を発しました。
CVE-2025-11953として追跡されているこの欠陥は、オペレーティングシステム(OS)のコマンドインジェクション脆弱性であり、開発環境を標的とした継続中の攻撃ですでに悪用されています。
この脆弱性は、React Nativeプロジェクトの初期構築や管理に開発者が使用する主要ツールであるReact Native Community CLIに影響します。
この弱点は、アプリ開発中にJavaScriptコードをバンドルする役割を担うMetro Development Server内で、ユーザー入力を安全でない形で扱っていることに起因します。
攻撃者は、公開されているMetro Serverのエンドポイントに細工したPOSTリクエストを送信することでこの欠陥を悪用でき、任意のシステムコマンドを注入して実行できます。
Windowsシステムではリスクが特に深刻で、攻撃が成功すると、引数を完全に制御した任意のシェルコマンドを実行できるため、開発マシンやビルドサーバーを完全に掌握される可能性があります。
開発サーバーはしばしば緩いセキュリティ制御で構成されているため、Metro Serverが信頼できないネットワーク(例:公共Wi-Fiや安全でない社内サブネット)に露出していると、リモートから侵害される可能性が大幅に高まります。
この脆弱性は実質的にリモートコード実行(RCE)を可能にし、初期アクセスブローカーやデータ持ち出し(流出)キャンペーンにとって魅力的な標的となります。
CISAは、CVE-2025-11953が実環境で積極的に悪用されていることを確認し、影響を受けるバージョンのReact Native CLIを使用している組織は直ちに対応する必要があると警告しました。
連邦文民行政部門(FCEB)機関には、パッチ適用または脆弱なバージョンの使用中止を行うための是正期限として、2026年2月26日が設定されています。
これらの手順は重要です。というのも、この脆弱性の悪用には認証が不要であり、その後の権限昇格やラテラルムーブメントの侵入口となり得るためです。
CISAは、この脆弱性が主に開発システムを危険にさらすものである一方、ホストを完全に侵害し得る可能性があるため、迅速な緩和策が不可欠だと強調しています。
開発者およびセキュリティチームには、不正アクセスや潜在的なデータ侵害を防ぐため、直ちにパッチ適用、隔離、監視を実施するよう強く求められています。
翻訳元: https://cyberpress.org/react-native-community-command-injection-vulnerability/