Các nhà phát triển React Native cần chú ý ngay đến CVE-2025-11953. Lỗ hổng bảo mật này được tìm thấy trong gói @react-native-community/cli, và với khoảng 2 triệu lượt tải xuống mỗi tuần, nó ảnh hưởng đến một số lượng lớn các dự án. Vấn đề này đạt điểm 9,8/10 trên thang điểm CVSS, gần như là mức nghiêm trọng nhất. Điều đặc biệt nguy hiểm là kẻ tấn công có thể thực thi các lệnh trên máy phát triển của bạn mà không cần bất kỳ thông tin xác thực hay quyền truy cập đặc biệt nào. Chúng chỉ cần ở trên cùng một mạng.
Các nhà nghiên cứu bảo mật của JFrog đã phát hiện ra lỗ hổng và đã hợp tác với Meta để khắc phục. Lỗ hổng tồn tại trong cách máy chủ phát triển Metro xử lý các yêu cầu đến thông qua /mở-url điểm cuối.
Kẻ tấn công có thể khai thác nó như thế nào
Khi bạn bắt đầu dự án React Native của mình với npm bắt đầu hoặc các lệnh tương tự, máy chủ Metro sẽ liên kết với tất cả các giao diện mạng thay vì chỉ localhost. Hầu hết các nhà phát triển không nhận ra điều này.
Các /mở-url Điểm cuối chấp nhận các yêu cầu POST nhưng không khử trùng dữ liệu đầu vào đúng cách trước khi chuyển đến shell hệ thống. Ai đó trong mạng của bạn có thể gửi một yêu cầu được tạo sẵn với các lệnh độc hại, và các lệnh đó sẽ chạy trên máy của bạn với quyền người dùng của bạn.
Theo Tư vấn bảo mật của JFrog, Hệ thống Windows đặc biệt dễ bị tấn công khi thực thi toàn bộ lệnh, mặc dù macOS và Linux cũng có nguy cơ.
Hãy nghĩ về những gì được lưu trữ trên máy phát triển của bạn. Mã nguồn, khóa API, thông tin đăng nhập cơ sở dữ liệu, dữ liệu khách hàng để thử nghiệm. Kẻ tấn công có thể truy cập vào tất cả những dữ liệu này và điều đó có thể gây ra hậu quả nghiêm trọng cho bạn và công ty của bạn.
Kiểm tra xem bạn có bị ảnh hưởng không
CVE-2025-11953 ảnh hưởng đến các phiên bản từ 4.8.0 đến 20.0.0-alpha.2 của @react-native-community/cli-server-api. Chạy lệnh này trong thư mục dự án của bạn để kiểm tra:
danh sách npm @react-native-community/cli-server-api
Ngoài ra hãy kiểm tra cài đặt toàn cầu:
npm list -g @react-native-community/cli-server-api
Nếu bạn đang sử dụng Expo hoặc một framework khác không dựa trên Metro, có lẽ bạn vẫn an toàn. Nếu không, bạn cần cập nhật ngay lập tức.
Sửa ngay bây giờ
Cập nhật lên phiên bản 20.0.0 hoặc cao hơn:
npm cài đặt @react-native-community/cli-server-api@latest
Thực hiện điều này cho mọi dự án React Native trên máy tính của bạn, bao gồm cả những dự án cũ mà bạn chưa động đến gần đây.
Nếu bạn không thể cập nhật ngay lập tức, hãy sử dụng bản sửa lỗi tạm thời này:
npx react-native start --host 127.0.0.1
Tính năng này chỉ giới hạn máy chủ ở các kết nối cục bộ, chặn các cuộc tấn công mạng cho đến khi bạn có thể cập nhật đúng cách.
Tại sao an ninh phát triển lại quan trọng
Nhiều nhà phát triển tập trung nỗ lực bảo mật vào hệ thống sản xuất mà bỏ qua môi trường phát triển của họ. Tuy nhiên, máy phát triển lại là mục tiêu đáng giá vì chúng thường chứa mã nguồn chưa phát hành, thông tin đăng nhập và quyền truy cập vào mạng nội bộ.
Nghiên cứu từ OWASP cho thấy các lỗ hổng trong các phụ thuộc phát triển đang trở thành các hướng tấn công phổ biến. Kẻ tấn công biết rằng các nhà phát triển thường có ít biện pháp kiểm soát bảo mật hơn trên máy cục bộ so với máy chủ sản xuất.
Môi trường phát triển bị xâm phạm có thể dẫn đến mã nguồn bị đánh cắp, chèn cửa hậu, thông tin đăng nhập bị xâm phạm và các cuộc tấn công chuỗi cung ứng trong đó mã độc xâm nhập vào phần mềm hợp pháp.
Thực hành bảo mật tốt hơn
Hãy cập nhật các phụ thuộc của bạn thường xuyên. Dành thời gian mỗi tháng để chạy kiểm toán npm và giải quyết mọi lỗ hổng được tìm thấy.
Nếu có thể, hãy sử dụng mạng riêng biệt hoặc được bảo vệ, đặc biệt là ở những nơi công cộng như quán cà phê. VPN có thể hỗ trợ nhưng không hoàn hảo nếu lỗ hổng cho phép khai thác mạng cục bộ.
Sử dụng các công cụ quét tự động trong quy trình làm việc của bạn. Snyk, npm audit và các công cụ tương tự có thể phát hiện sớm các vấn đề. Khi bạn thấy cảnh báo bảo mật trong quá trình cài đặt, đừng bỏ qua chúng chỉ để quay lại viết code.
Bảo vệ hệ thống sản xuất của bạn
Mặc dù việc khắc phục các lỗ hổng phát triển như CVE-2025-11953 là rất quan trọng, nhưng các trang web trực tuyến của bạn cũng cần được bảo vệ. Các trang web luôn phải đối mặt với các mối đe dọa từ phần mềm độc hại, tin tặc và nhiều loại khai thác khác nhau có thể xâm phạm dữ liệu doanh nghiệp và khách hàng của bạn.
Việc giám sát và quét bảo mật thường xuyên giúp phát hiện các vấn đề trước khi chúng trở thành thảm họa. Nếu bạn lo ngại về bảo mật trang web hoặc nghi ngờ có điều gì đó không ổn, các dịch vụ bảo mật chuyên nghiệp có thể xác định các mối đe dọa và cung cấp các giải pháp khắc phục rõ ràng.
Các dịch vụ như Tăng cường bảo mật của Quape Cung cấp giải pháp bảo vệ website toàn diện với phân tích chuyên sâu và giám sát liên tục. Phòng ngừa luôn tiết kiệm chi phí hơn so với việc xử lý vi phạm bảo mật sau khi nó đã xảy ra.
Hãy hành động ngay hôm nay
CVE-2025-11953 cho thấy các công cụ chúng ta sử dụng hàng ngày có thể có lỗ hổng bảo mật nghiêm trọng. Cộng đồng React Native đã nhanh chóng vá lỗi này, nhưng việc áp dụng bản vá đó là trách nhiệm của bạn.
Hãy cập nhật dự án của bạn ngay bây giờ, đừng để sau này. Kiểm tra tất cả các cài đặt React Native của bạn. Hãy biến việc cập nhật bảo mật thành một phần trong thói quen thường xuyên của bạn thay vì chỉ nghĩ đến khi có lỗ hổng nghiêm trọng được đưa tin.
Tính đến tháng 11 năm 2025, vẫn chưa có báo cáo rộng rãi nào về việc khai thác đang diễn ra, nhưng mã bằng chứng khái niệm đã được công khai. Một khi thông tin đó được công bố, chỉ còn là vấn đề thời gian trước khi kẻ tấn công bắt đầu sử dụng nó.
Luôn cập nhật các khuyến cáo bảo mật cho các phụ thuộc của bạn. Áp dụng các bản cập nhật kịp thời. Tuân thủ các biện pháp bảo mật cơ bản. Những điều này không còn là tùy chọn đối với các nhà phát triển có trách nhiệm nữa.
- Sự cố ngừng hoạt động của Cloudflare Dashboard Workers & Datacenter ngày 5 tháng 12 năm 2025 - Tháng 12 5, 2025
- Sự cố Cloudflare tháng 11 năm 2025 - Tháng mười một 18, 2025
- CVE-2025-11953 Lỗ hổng bảo mật nghiêm trọng của React Native CLI - Tháng mười một 7, 2025
