在網站開發領域熱門的React Native Community CLI(@react-native-community/cli)的NPM套件,資安業者JFrog本週揭露當中存在重大層級的漏洞CVE-2025-11953,由於該套件每週下載次數約為2百萬,因此漏洞的影響範圍將會非常廣泛,恐有數百萬開發人員曝險,呼籲開發人員要儘速套用20.0.0以上的新版套件因應。
上述漏洞存在於4.8.0至20.0.0-alpha.2版套件,一旦攻擊者成功利用漏洞,就有機會在未經身分驗證的情況下,於開發伺服器執行任何作業系統層級的命令,CVSS風險值為9.8(滿分10分),Meta獲報後,於10月初發布20.0.0版修補。
不過,JFrog強調並非所有使用此NPM套件的開發人員都受到漏洞影響。首先,開發人員必須透過套件啟動React Native專案,並透過特定命令啟動開發伺服器Metro,就有可能曝險。他們提及,若是開發人員並未使用Metro,應該就不會受到影響。
React Native是Meta推出的跨平臺應用程式框架,開發人員能以此運用JavaScript建立跨平臺的行動裝置應用程式,而上述漏洞存在於命令列工具的其中一個套件裡。JFrog強調,這漏洞與一般典型的漏洞不同,並非僅影響開發人員自己的電腦,而是引發另一個React Native程式碼基礎(Codebase)的弱點,導致開發伺服器曝露在外部網路攻擊的風險。
JFrog也提及CVE-2025-11953在不同作業系統開發環境的影響,在Windows環境裡,攻擊者可運用完全控制的參數執行任意Shell命令;而在macOS及Linux平臺,攻擊者僅能執行任意檔案或開啟URI,但不排除執行完整命令的可能性。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-02
2026-01-02