「React Native CLI」に脆弱性 - 外部よりコマンド実行のおそれ

JavaScriptとReactを用いて複数のプラットフォーム向けにアプリを開発できるフレームワーク「React Native」のコマンドラインインタフェースに脆弱性が明らかとなった。

「React Native CLI」より開発サーバ「Metro Development Server」を起動した環境において、第三者によるコマンド実行が可能となる脆弱性「CVE-2025-11953」が明らかとなったもの。脆弱性を発見したJFrogが報告した。

サーバ起動時にデフォルトで「React Native CLI」が外部インタフェースにバインドされ、サーバの公開対象となっているエンドポイント環境よりコマンドの実行が可能となる。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.8」と評価されており、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

Windows環境では、任意のOSコマンドが実行可能。macOSやLinuxにおいてもパラメータの制限はあるものの、任意の実行ファイルを実行できる。

同脆弱性は、「cli-server-api 20.0.0」にて修正されており、利用者にアップデートが呼びかけられている。

（Security NEXT - 2025/11/06 ） ツイート

PR

関連記事

「Spring Cloud Config」にパストラバーサルなど複数脆弱性
「Apache HTTP Server」に複数脆弱性 - 更新を呼びかけ
「Chrome 148」が公開、脆弱性127件を修正 - 「クリティカル」も複数
Palo Alto Networks製「PAN-OS」に深刻な脆弱性 - すでに悪用も
Linuxカーネルに権限昇格の脆弱性「Copy Fail」 - PoC公開済み
米当局、悪用リストに脆弱性3件を追加 - 最短で5月3日対応期限
「Firefox」にアップデート - 「クリティカル」脆弱性を解消
「cPanel」に深刻な脆弱性、悪用も - 修正や侵害有無の確認を
「NVIDIA FLARE SDK」に複数の脆弱性 - 認証回避やコード実行のおそれ
「SonicOS」に複数の脆弱性 - 認証回避やDoSのおそれ