Han surgido detalles sobre una falla de seguridad crítica ahora corregida en la popular» @react -comunidad-nativa/cli «paquete npm que podría explotarse para ejecutar comandos maliciosos del sistema operativo (OS) en determinadas condiciones.
«La vulnerabilidad permite a los atacantes remotos no autenticados activar fácilmente la ejecución arbitraria de comandos del sistema operativo en la máquina que ejecuta el servidor de desarrollo de react-native-community/cli, lo que representa un riesgo significativo para los desarrolladores», dijo Or Peles, investigador sénior de seguridad de JFrog dijo en un informe compartido con The Hacker News.
La vulnerabilidad, rastreada como CVE-2025-11953, tiene una puntuación CVSS de 9,8 sobre un máximo de 10,0, lo que indica una gravedad crítica. También afecta a las versiones 4.8.0 a 20.0.0-alpha.2 del paquete "@react -native-community/cli-server-api», y ha sido remendado en versión 20.0.0 publicado a principios del mes pasado.
El paquete de herramientas de línea de comandos , que es mantenido por Meta, permite a los desarrolladores crear aplicaciones móviles de React Native. Recibe aproximadamente entre 1,5 y 2 millones de descargas por semana.
Según la firma de seguridad de la cadena de suministro de software, la vulnerabilidad surge del hecho de que el Servidor de desarrollo Metro utilizado por React Native para crear código y activos de JavaScript se vincula a interfaces externas de forma predeterminada (en lugar de localhost) y expone un punto final «/open-url» que es susceptible a la inyección de comandos del sistema operativo.
«El punto final '/open-url' del servidor gestiona una solicitud POST que incluye un valor introducido por el usuario que se pasa a la función open () no segura proporcionada por el paquete abierto de NPM, lo que provocará la ejecución de comandos del sistema operativo», afirma Peles.
Como resultado, un atacante de red no autenticado podría convertir la falla en un arma para enviar una solicitud POST especialmente diseñada al servidor y ejecutar comandos arbitrarios. En Windows, los atacantes también pueden ejecutar comandos de shell arbitrarios con argumentos totalmente controlados, mientras que en Linux y macOS se puede abusar de ello para ejecutar archivos binarios arbitrarios con un control de parámetros limitado.
Si bien el problema se ha solucionado desde entonces, los desarrolladores que usan React Native con un marco que no depende de Metro como servidor de desarrollo no se ven afectados.
«Esta vulnerabilidad de día cero es particularmente peligrosa debido a su facilidad de explotación, la falta de requisitos de autenticación y la amplia superficie de ataque», dijo Peles. «También expone los riesgos críticos ocultos en el código de terceros».
«Para los equipos de desarrolladores y de seguridad, esto subraya la necesidad de realizar análisis de seguridad completos y automatizados en toda la cadena de suministro de software para garantizar que las fallas fáciles de explotar se corrijan antes de que afecten a su organización».