CVE-2025-11953 React Native CLI 严重安全漏洞

React Native 开发者现在需要密切关注 CVE-2025-11953。这个安全漏洞存在于 @react-native-community/cli 包中，每周下载量高达 200 万次，影响着大量的项目。该漏洞在 CVSS 评分中达到 9.8 分（满分 10 分），属于最高级别。其危险之处在于，攻击者无需任何凭据或特殊权限，只需与开发者处于同一网络即可在您的开发机器上执行命令。.

JFrog Security 的研究人员发现了这个漏洞，并与 Meta 合作修复了它。该漏洞存在于 Metro 开发服务器处理传入请求的方式中。 /打开网址 终点。.

攻击者如何利用它

当你开始你的 React Native 项目时 npm start 或者类似的命令，Metro 服务器会绑定到所有网络接口，而不仅仅是本地主机。大多数开发者都没有意识到这一点。.

这 /打开网址 该端点接受 POST 请求，但在将输入传递给系统 shell 之前没有对其进行适当的清理。网络中的其他人可以发送包含恶意命令的精心构造的请求，这些命令将以您的用户权限在您的计算机上运行。.

根据 JFrog 安全建议, Windows 系统尤其容易受到完整命令执行攻击，但 macOS 和 Linux 也面临风险。.

想想你的开发机器上存储了些什么：源代码、API密钥、数据库凭证、用于测试的客户数据等等。攻击者一旦获取了所有这些信息，对你和你的公司都可能造成毁灭性的打击。.

检查您是否受到影响

CVE-2025-11953 影响 @react-native-community/cli-server-api 的 4.8.0 至 20.0.0-alpha.2 版本。请在项目目录中运行以下命令进行检查：

npm list @react-native-community/cli-server-api

同时检查全局安装情况：

npm list -g @react-native-community/cli-server-api

如果你使用的是 Expo 或其他不依赖 Metro 的框架，那么你可能不会遇到问题。否则，你需要立即更新。.

立即修复

请更新至 20.0.0 或更高版本：

npm install @react-native-community/cli-server-api@latest

对计算机上的每个 React Native 项目执行此操作，包括您最近未曾修改过的旧项目。.

如果无法立即更新，请使用此临时解决方案：

npx react-native start --host 127.0.0.1

这样可以将服务器限制为仅支持本地连接，从而阻止网络攻击，直到您可以正确更新为止。.

为什么开发安全至关重要

许多开发人员将安全工作重点放在生产系统上，而忽略了开发环境。但开发机器是极具价值的攻击目标，因为它们通常包含未发布的代码、凭据以及对内部网络的访问权限。.

研究来自 OWASP 这表明开发依赖项中的漏洞正成为常见的攻击途径。攻击者深知，与生产服务器相比，开发人员在本地机器上通常缺乏足够的安全控制。.

开发环境一旦遭到破坏，就可能导致源代码被盗、后门被注入、凭证被盗用，以及恶意代码进入合法软件的供应链攻击。.

更佳的安全措施

定期更新依赖项。每月留出时间运行以下命令。 npm 审计 并解决发现的任何漏洞。.

尽可能在隔离或受保护的网络上工作，尤其是在咖啡馆等公共场所。VPN 有所帮助，但如果漏洞允许利用本地网络，VPN 也并非万无一失。.

在工作流程中使用自动化扫描工具。Snyk、npm audit 和类似的工具可以及早发现问题。安装过程中如果出现安全警告，不要为了继续编码而忽略它们。.

保护您的生产系统

修复诸如 CVE-2025-11953 之类的开发漏洞固然重要，但您的线上网站也需要保护。网站时刻面临着来自恶意软件、黑客和各种漏洞利用的威胁，这些威胁可能会危及您的业务和客户数据。.

定期进行安全监控和扫描有助于在问题演变成灾难之前将其发现并解决。如果您担心网站安全或怀疑存在问题，专业的安全服务可以识别威胁并提供明确的解决方案。.

服务 Quape 的安全加固 我们提供全面的网站保护，包括专家分析和持续监控。预防永远比事后处理安全漏洞更划算。.

立即行动

CVE-2025-11953 表明我们日常使用的工具可能存在严重的安全漏洞。React Native 社区已迅速修复了该漏洞，但应用该补丁是您的责任。.

立即更新您的项目，不要拖延。检查所有 React Native 安装。将安全更新纳入您的日常工作流程，而不是只有在重大漏洞曝光时才想起它。.

截至2025年11月，尚未有大规模的攻击报告，但概念验证代码已经公开。一旦这些信息泄露，攻击者开始利用它只是时间问题。.

密切关注依赖项的安全公告，及时更新，并遵循基本的安全实践。对于负责任的开发者而言，这些已不再是可选项。.

• 关于
• 最新文章

阿蒂夫·夸佩

云安全专家 在 QUAPE私人有限公司

Athif 深谙网络安全之道。从嗅探可疑 IP 到智胜网络钓鱼诈骗，他总能在网络罪犯敲门之前就锁上数字大门。日志不会说谎，Athif 读起来就像睡前故事一样轻松。除非你想听他讲网络卫生方面的课，否则千万别让他连接公共 Wi-Fi。

Athif Quape 的最新帖子 (查看全部)

• CVE-2025-11953 React Native CLI 严重安全漏洞 - 2025 年 11 月 7 日
• 如何在 Ubuntu 24.04 上部署 n8n - 2025 年 11 月 4 日
• Ubuntu 24.04 自托管 Focalboard 终极设置指南 - 2025 年 10 月 25 日