軟體供應鏈安全公司 JFrog 揭露了影響一款流行的 React Native NPM 套件的嚴重漏洞的詳細資訊。React Native 是一個開源框架，旨在建立可在行動、桌面和 Web 平台上運行的應用程式。這個框架的普及性非常高，每週都有大量的開發者使用它來創建跨平台應用程式。

JFrog 研究人員發現的漏洞，編號為 CVE-2025-11953，CVSS 評分為 9.8（代表極度嚴重等級），會影響 React Native Community CLI NPM 套件（@react-native-community/cli）。這個套件提供用於建立應用程式的命令列工具，其每週下載量約為 200 萬次，顯示其在開發者生態系統中的核心地位。

根據 JFrog 的說法，CVE-2025-11953 可能使開發人員面臨巨大的風險，其嚴重性在於它使未經身份驗證的威脅行為者能夠透過向目標伺服器發送 POST 請求來執行帶有攻擊者控制參數的任意命令。

JFrog 的警告特別指出，這個漏洞與開發伺服器上典型的漏洞不同，後者通常只能從開發人員的本地機器上被利用。研究團隊在 React Native 的核心程式碼庫中發現了第二個安全問題，使得這個開發伺服器暴露於外部網路攻擊，從而讓前述的任意命令執行漏洞成為一個高度關鍵的問題。這意味著，攻擊者不再需要直接存取開發人員的本地機器，即可發動攻擊。

研究人員成功地在 Windows 平台上利用了這個漏洞，實現了對作業系統命令的任意執行，並且具有對參數的完全控制權。儘管在 Linux 和 macOS 平台上的命令執行受到一定參數控制的限制，研究人員認為該漏洞對這些平台也可能產生更高的衝擊。

JFrog 強調，這個漏洞只會對使用易受攻擊版本的 NPM 套件並依賴 Metro 開發伺服器的開發人員構成威脅。由於 Metro 開發伺服器在開發過程中通常會啟用，以進行即時重載和調試，許多開發者在不知不覺中將自己的開發環境暴露於外部風險之下。一旦開發人員的機器被攻陷，攻擊者就能夠存取敏感程式碼、竊取憑證或進行更深層次的軟體供應鏈攻擊。

該安全公司表示，該漏洞已被 Meta 迅速修復，Meta 是 React Native 的原始開發商，至今仍與龐大的開源社區和微軟等企業貢獻者一起參與維護。

針對 CVE-2025-11953 的修補程式已包含在 20.0.0 版本中。因此，強烈建議使用者將其每個項目中的 @react-native-community/cli-server-api 更新到此版本或更高版本，以保護他們的開發環境，避免遭受遠端命令執行的嚴重攻擊。這起事件再次提醒所有依賴開源套件的開發者，軟體供應鏈安全是不可忽視的環節。

資料來源：https://www.securityweek.com/critical-flaw-in-popular-react-native-npm-package-exposes-developers-to-attacks/