В Банке данных угроз (BDU) была зарегистрирована новая критическая уязвимость под номером BDU:2026-01467. Данная уязвимость, также известная как CVE-2025-11953, затрагивает популярный инструментарий React Native Community CLI и сопутствующий Metro Development Server, которые широко используются для разработки кроссплатформенных мобильных приложений. Эксперты по кибербезопасности присвоили ей максимальный уровень опасности, поскольку она позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе.
Детали уязвимости
Уязвимость классифицируется как "внедрение команд операционной системы" (CWE-78). По сути, она возникает из-за недостаточной фильтрации пользовательского ввода в определенных компонентах инструментов разработки. В частности, атака возможна через отправку специально сформированного POST-запроса на сервер Metro, который является частью стандартного рабочего процесса React Native. В результате, не прошедшие проверку данные интерпретируются как системные команды, что открывает путь для полного контроля над хостом.
Согласно данным BDU, уязвимость затрагивает несколько версий React Native Community CLI. В список попадают версия 18.0.0, все релизы в диапазоне от 19.0.0 до 19.1.2, а также альфа-версии 20.0.0 (alpha0, alpha1, alpha2). Уязвим также Metro Development Server, хотя точные версии требуют уточнения. Учитывая, что React Native является одним из ведущих фреймворков для создания приложений под iOS и Android, потенциальный масштаб угрозы огромен. Под угрозой могут оказаться не только компьютеры разработчиков, но и, в определенных конфигурациях, тестовые или даже продакшн-среды.
Оценка по методологии CVSS лишь подтверждает критичность ситуации. По шкале CVSS 2.0 уязвимость получила высший балл 10.0, а по более современной CVSS 3.1 - 9.8 из 10. Обе оценки указывают на то, что для эксплуатации не требуются аутентификация или сложные условия, а последствия включают полную компрометацию конфиденциальности, целостности и доступности системы. Это классический сценарий для создания точки постоянного доступа (persistence) в корпоративной сети или развертывания вредоносного кода.
Особую остроту ситуации придает тот факт, что, согласно информации из BDU, эксплойт для данной уязвимости уже существует в открытом доступе. Более того, Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) внесло CVE-2025-11953 в свой каталог известных эксплуатируемых уязвимостей. Это означает, что угроза является не теоретической, а активной, и атаки в дикой природе уже зафиксированы. Следовательно, злоумышленники, включая группы APT, могут активно использовать эту брешь для атак на компании, занимающиеся мобильной разработкой.
Производитель, Meta Platforms Inc, уже отреагировал на угрозу. Уязвимость была подтверждена и устранена. Исправление было выпущено в виде коммита в публичном репозитории GitHub. Разработчикам настоятельно рекомендуется немедленно обновить React Native Community CLI до патченной версии, следуя официальным рекомендациям. Основным способом устранения является применение фикса, ссылка на который приведена в записи BDU. Меры по смягчению последствий, такие как сегментация сети и ограничение доступа к портам разработки, также могут быть временным решением.
Для сообщества разработчиков React Native эта новость служит серьезным напоминанием о важности безопасности инструментов цепочки поставок. Серверы Metro часто работают на локальных машинах разработчиков, которые могут иметь доступ к критически важным ресурсам, таким как ключи подписи приложений или базы данных. Успешная атака может привести не только к хищению исходного кода, но и к компрометации всего процесса сборки и публикации приложений. В худшем случае, злоумышленники могут внедрить бэкдоры в финальные сборки, которые попадут к конечным пользователям.
Таким образом, уязвимость CVE-2025-11953 представляет собой значительный риск для экосистемы мобильной разработки. Ее критический статус, наличие работающего эксплойта и широкое распространение уязвимого ПО требуют безотлагательных действий от всех команд, использующих React Native. Своевременное обновление зависимостей и аудит безопасности инфраструктуры разработки становятся не просто лучшими практиками, а необходимыми мерами для предотвращения инцидентов. Игнорирование данного предупреждения может привести к серьезным последствиям, включая утечки данных, финансовые потери и репутационный ущерб.
Ссылки
- https://bdu.fstec.ru/vul/2026-01467
- https://www.cve.org/CVERecord?id=CVE-2025-11953
- https://github.com/react-native-community/cli/commit/15089907d1f1301b22c72d7f68846a2ef20df547
- https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability
- https://x.com/SzymonRybczak/status/1986199665000566848
- https://x.com/thymikee/status/1986770875954475375
- https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
