Firma za bezbjednost softverskog lanca snabdijevanja JFrog objavila je detalje o kritičnoj ranjivosti koja pogađa popularni React Native NPM paket.
React Native je open source okvir dizajniran za kreiranje aplikacija koje funkcionišu na mobilnim, desktop i web platformama.
Ranjivost koju su otkrili istraživači iz JFroga, praćena kao CVE-2025-11953 i sa CVSS ocjenom 9.8, utiče na NPM paket React Native Community CLI (@react-native-community/cli), koji obezbjeđuje komandno-linijske alate za izgradnju aplikacija i bilježi oko dva miliona preuzimanja sedmično.
Prema podacima JFroga, CVE-2025-11953 može izložiti developere napadima, omogućavajući neautentifikovanim hakerima izvršavanje proizvoljnih komandi sa parametrima pod kontrolom napadača, slanjem POST zahtjeva prema ciljanom serveru.
„Za razliku od uobičajenih ranjivosti u razvojnom serveru koje su eksploatabilne samo lokalno na računaru developera, druga bezbjednosna slabost koju je tim otkrio u osnovnom React Native kodu izlaže razvojni server spoljnim mrežnim napadima – što ovu ranjivost čini izuzetno kritičnom“, upozorili su iz JFroga.
Istraživači su uspjeli da eksploatišu ranjivost na Windows sistemima za izvršavanje proizvoljnih komandi operativnog sistema uz potpunu kontrolu parametara. Na Linux i macOS platformama postignuto je izvršavanje koda sa ograničenom kontrolom parametara, ali istraživači vjeruju da ranjivost može imati i veći uticaj na ovim sistemima.
JFrog je naveo da je propust eksploatabilan samo protiv developera koji koriste ranjivu verziju pomenutog NPM paketa i oslanjaju se na Metro razvojni server.
Bezbjednosna kompanija dodaje da je ranjivost brzo zakrpljena od strane Mete, koja je originalni tvorac React Native okvira i koja i dalje učestvuje u njegovom održavanju zajedno sa velikom open source zajednicom i korporativnim saradnicima kao što je Microsoft.
Zakrpa za CVE-2025-11953 uključena je u verziju 20.0.0, a korisnicima je preporučeno da ažuriraju @react-native-community/cli-server-api na ovu verziju ili noviju u svim svojim projektima.
Izvor: SecurityWeek
