SK-CERT Bezpečnostné varovanie V20251105-03
| Dôležitosť | Kritická |
| Klasifikácia | Neutajované/TLP:CLEAR |
| CVSS Skóre |
9.8 |
| Identifikátor |
| @REACT-NATIVE-COMMUNITY/CLI – kritická bezpečnostná zraniteľnosť |
| Popis |
| Vývojári populárnej NPM knižnice a development servera @REACT-NATIVE-COMMUNITY/CLI vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú kritickú zraniteľnosť. CVE-2025-11953 spočíva v nedostatočnom overovaní používateľských vstupov v rámci /open-url endpointu externého komponentu Metro, ktorý React Native používa na buildovanie JavaScript kódu. Vzdialený, neautentifikovaný útočník by ju zaslaním špeciálne vytvorených HTTP POST požiadaviek mohol zneužiť na vzdialené vykonanie príkazov operačného systému. |
| Dátum prvého zverejnenia varovania |
| 4.11.2025 |
| CVE |
| CVE-2025-11953 |
| IOC |
| – |
| Zasiahnuté systémy |
| @react-native-community/cli-server-api vo verzii staršej ako 20.0.0 |
| Následky |
| Vykonanie škodlivého kódu Neoprávnený prístup k citlivým údajom Neoprávnená zmena v systéme Zneprístupnenie služby |
| Odporúčania |
| Odporúčame uistiť sa, či Vaše aplikácie nevyužívajú frameworky, knižnice, pluginy, SDK alebo moduly v zraniteľnej verzii. V prípade, že áno, zabezpečte aktualizáciu všetkých komponentov, od ktorých závisí vaša aplikácia, na aktuálne verzie bez známych bezpečnostných zraniteľností. V prípade, že aktualizácia systému nie je možná, bezpečnostní výskumníci odporúčajú explicitne naviazať vývojársky server na localhost zahrnutím flagu “–host 127.0.0.1”. |
| Zdroje |
| https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability/ |
« Späť na zoznam
