Han surgido detalles sobre una falla de seguridad crítica que fue reparada en el popular paquete @react-native-community/cli npm. Esta falla se puede explotar bajo ciertas condiciones para ejecutar comandos maliciosos del sistema operativo (SO).
«Esta vulnerabilidad permite que un atacante remoto no autenticado provoque fácilmente la ejecución de comandos arbitrarios del sistema operativo en la máquina que ejecuta el servidor de desarrollo reaccionar-nativo-comunidad/cli, lo que representa un riesgo significativo para los desarrolladores», dijo Or Peles, investigador senior de seguridad de JFrog, en un informe compartido con The Hacker News.
Esta vulnerabilidad se rastrea como CVE-2025-11953 y tiene una puntuación CVSS de 9,8 de un máximo de 10,0, lo que indica una gravedad crítica. También afecta a las versiones 4.8.0 a 20.0.0-alpha.2 del paquete «@react-native-community/cli-server-api», que fue parcheado en la versión 20.0.0 lanzada a principios del mes pasado.
Los paquetes de herramientas de línea de comandos mantenidos por Meta permiten a los desarrolladores crear aplicaciones móviles React Native. Recibe aproximadamente entre 1,5 y 2 millones de descargas cada semana.
Según la empresa de seguridad de la cadena de suministro de software, la vulnerabilidad surge del hecho de que el servidor de desarrollo Metro que utiliza React Native para crear código y activos JavaScript está vinculado de forma predeterminada a una interfaz externa (en lugar de localhost) y expone un punto final «/open-url» que es susceptible a la inyección de comandos del sistema operativo.
«El punto final ‘/open-url’ del servidor maneja solicitudes POST que contienen valores de entrada del usuario que se pasan a la función insegura open() proporcionada por el paquete open NPM, que ejecuta comandos del sistema operativo», dijo Pérez.
Como resultado, un atacante de red no autenticado podría aprovechar esta falla para ejecutar comandos arbitrarios enviando solicitudes POST especialmente diseñadas al servidor. En Windows, un atacante también puede ejecutar comandos de shell arbitrarios con argumentos totalmente controlados, mientras que en Linux y macOS se puede explotar para ejecutar archivos binarios arbitrarios con control de parámetros limitado.
Desde entonces, este problema se resolvió, pero los desarrolladores que utilizan React Native con marcos que no dependen de Metro como su servidor de desarrollo no se ven afectados.
«Esta vulnerabilidad de día cero es particularmente peligrosa debido a su facilidad de explotación, falta de requisitos de autenticación y amplia superficie de ataque», dijo Pérez. «También expone riesgos importantes ocultos en el código de terceros».
«Para los desarrolladores y equipos de seguridad, esto resalta la necesidad de un escaneo de seguridad integral y automatizado en toda la cadena de suministro de software para garantizar que las fallas fácilmente explotables se solucionen antes de que afecten a la organización».
Source link
