Uma vulnerabilidade crítica recentemente corrigida no pacote npm “react-native-community/cli” expôs milhões de desenvolvedores a ataques remotos capazes de executar comandos no sistema operacional de forma não autenticada. O problema recebeu o identificador CVE-2025-11953, com pontuação CVSS de 9.8. A falha afeta versões da biblioteca “react-native-community/cli-server-api” entre 4.8.0 e 20.0.0-alpha.2.
O problema foi corrigido na versão 20.0.0, lançada no início de outubro. O pacote é amplamente utilizado por desenvolvedores para criar aplicativos móveis com React Native e registra entre 1,5 milhão e 2 milhões de downloads por semana. O erro reside no servidor de desenvolvimento Metro, que, por padrão, escuta conexões em interfaces externas em vez de localhost. Esse servidor expõe um endpoint que pode ser explorado por atacantes para injetar comandos no sistema via uma requisição POST maliciosa.
A requisição POST enviada ao endpoint manipula uma função do pacote “open”, que é insegura e pode ser usada para executar comandos arbitrários. Em sistemas Windows, é possível passar argumentos controlados pelo invasor. Em ambientes Linux e macOS, o ataque permite executar binários com controle limitado dos parâmetros. Um invasor conectado à mesma rede ou com acesso à porta exposta pode tomar controle da máquina de desenvolvimento. Isso representa um sério risco em ambientes corporativos e projetos expostos inadvertidamente à internet.
