Pengembang React Native perlu segera mewaspadai CVE-2025-11953. Kerentanan keamanan ini ditemukan dalam paket @react-native-community/cli, dan dengan sekitar 2 juta unduhan mingguan, kerentanan ini memengaruhi banyak sekali proyek. Masalah ini mendapat skor 9,8 dari 10 pada skala CVSS, yang merupakan tingkat keparahan tertinggi. Yang membuatnya sangat berbahaya adalah penyerang dapat mengeksekusi perintah di mesin pengembangan Anda tanpa memerlukan kredensial atau akses khusus. Mereka hanya perlu berada di jaringan yang sama.
Para peneliti JFrog Security menemukan celah tersebut dan bekerja sama dengan Meta untuk memperbaikinya. Kerentanan tersebut terdapat pada cara server pengembangan Metro menangani permintaan masuk melalui /buka-url titik akhir.
Daftar isi
BeralihBagaimana penyerang dapat mengeksploitasinya
Ketika Anda memulai proyek React Native Anda dengan npm mulai atau perintah serupa, server Metro akan terikat ke semua antarmuka jaringan, bukan hanya localhost. Kebanyakan pengembang tidak menyadari hal ini.
Itu /buka-url Titik akhir menerima permintaan POST tetapi tidak membersihkan input dengan benar sebelum meneruskannya ke shell sistem. Seseorang di jaringan Anda dapat mengirimkan permintaan yang dibuat-buat dengan perintah berbahaya, dan perintah tersebut akan dijalankan di komputer Anda dengan hak akses pengguna Anda.
Menurut Penasihat keamanan JFrog, Sistem Windows sangat rentan terhadap eksekusi perintah penuh, meskipun macOS dan Linux juga berisiko.
Pikirkan tentang apa yang tersimpan di mesin pengembangan Anda. Kode sumber, kunci API, kredensial basis data, data pelanggan untuk pengujian. Jika penyerang mendapatkan akses ke semua itu, hal itu bisa sangat merugikan Anda dan perusahaan Anda.
Periksa apakah Anda terpengaruh
CVE-2025-11953 memengaruhi versi 4.8.0 hingga 20.0.0-alpha.2 dari @react-native-community/cli-server-api. Jalankan perintah ini di direktori proyek Anda untuk memeriksa:
npm daftar @react-native-community/cli-server-api
Periksa juga instalasi global:
npm daftar -g @react-native-community/cli-server-api
Jika Anda menggunakan Expo atau framework lain yang tidak bergantung pada Metro, kemungkinan besar Anda aman. Jika tidak, Anda perlu segera memperbaruinya.
Perbaiki sekarang
Perbarui ke versi 20.0.0 atau lebih tinggi:
npm install @react-native-community/cli-server-api@latest
Lakukan ini untuk setiap proyek React Native di komputer Anda, termasuk proyek lama yang belum Anda sentuh baru-baru ini.
Jika Anda tidak dapat segera memperbarui, gunakan perbaikan sementara ini:
npx reaksi-asli mulai --host 127.0.0.1
Ini membatasi server ke koneksi lokal saja, memblokir serangan jaringan hingga Anda dapat memperbarui dengan benar.
Mengapa keamanan pembangunan penting
Banyak pengembang memfokuskan upaya keamanan pada sistem produksi sambil mengabaikan lingkungan pengembangan mereka. Padahal, mesin pengembangan merupakan target yang berharga karena sering kali berisi kode yang belum dirilis, kredensial, dan akses ke jaringan internal.
Penelitian dari OWASP menunjukkan bahwa kerentanan dalam dependensi pengembangan menjadi vektor serangan yang umum. Penyerang tahu bahwa pengembang biasanya memiliki kontrol keamanan yang lebih sedikit pada mesin lokal dibandingkan dengan server produksi.
Lingkungan pengembangan yang terganggu dapat menyebabkan pencurian kode sumber, penyuntikan pintu belakang, pencurian kredensial, dan serangan rantai pasokan di mana kode berbahaya masuk ke perangkat lunak yang sah.
Praktik keamanan yang lebih baik
Perbarui dependensi Anda secara berkala. Sisihkan waktu setiap bulan untuk menjalankan audit npm dan mengatasi kerentanan yang ditemukan.
Bekerjalah di jaringan yang terisolasi atau terlindungi jika memungkinkan, terutama dari tempat umum seperti kedai kopi. VPN memang membantu, tetapi tidak sempurna jika kerentanannya memungkinkan eksploitasi jaringan lokal.
Gunakan alat pemindaian otomatis dalam alur kerja Anda. Snyk, npm audit, dan alat serupa dapat mendeteksi masalah lebih awal. Jika Anda melihat peringatan keamanan selama instalasi, jangan abaikan hanya untuk kembali ke pengkodean.
Melindungi sistem produksi Anda
Meskipun memperbaiki kerentanan pengembangan seperti CVE-2025-11953 penting, situs web Anda yang aktif juga membutuhkan perlindungan. Situs web terus-menerus menghadapi ancaman dari malware, peretas, dan berbagai eksploitasi yang dapat membahayakan data bisnis dan pelanggan Anda.
Pemantauan dan pemindaian keamanan rutin membantu mendeteksi masalah sebelum menjadi bencana. Jika Anda khawatir tentang keamanan situs web Anda atau mencurigai ada yang salah, layanan keamanan profesional dapat mengidentifikasi ancaman dan memberikan solusi yang jelas.
Layanan seperti Penguatan Keamanan Quape Menawarkan perlindungan situs web yang komprehensif dengan analisis ahli dan pemantauan berkelanjutan. Pencegahan selalu lebih murah daripada menangani pelanggaran keamanan setelah terjadi.
Ambil tindakan hari ini
CVE-2025-11953 menunjukkan bahwa perangkat yang kita gunakan sehari-hari dapat memiliki kelemahan keamanan yang serius. Komunitas React Native segera menambalnya, tetapi penerapannya merupakan tanggung jawab Anda.
Perbarui proyek Anda sekarang, jangan nanti. Periksa semua instalasi React Native Anda. Jadikan pembaruan keamanan sebagai bagian dari rutinitas Anda, bukan sesuatu yang hanya Anda pikirkan ketika kerentanan kritis muncul di berita.
Hingga November 2025, belum ada laporan luas tentang eksploitasi aktif, tetapi kode bukti konsep sudah dipublikasikan. Setelah informasi tersebut tersedia, hanya masalah waktu sebelum penyerang mulai menggunakannya.
Selalu dapatkan informasi terkini tentang saran keamanan untuk dependensi Anda. Terapkan pembaruan segera. Ikuti praktik keamanan dasar. Ini bukan lagi pilihan bagi pengembang yang bertanggung jawab.
- AI Infrastructure Security, A Complete Guide for Engineers - Juli 16, 2026
- Dashboard Cloudflare Mati, Masalah Pekerja & Pusat Data 5 Des 2025 - 5 Desember 2025
- Gangguan Cloudflare? Insiden November 2025 - 18 November 2025
