Threats
A falha encontrada no npm React Native Community Command Line Interface permite que agentes maliciosos não autenticados executem comandos arbitrários no servidor de desenvolvimento
05/11/2025
|
A JFrog divulgou detalhes de uma vulnerabilidade crítica que afeta um popular pacote npm do React Native, um framework de código aberto utilizado na criação de aplicações móveis, desktop e web. A falha, descoberta pelos investigadores da JFrog e identificada como CVE-2025-11953, reside no pacote NPM React Native Community Command Line Interface (CLI), que regista aproximadamente dois milhões de downloads por semana. Segundo a JFrog, a vulnerabilidade representa um risco significativo para os developers. A falha permite que agentes maliciosos não autenticados executem comandos arbitrários no servidor de desenvolvimento, controlando parâmetros através de pedidos POST enviados para o alvo. “Ao contrário das vulnerabilidades típicas nos servidores de desenvolvimento, que só podem ser exploradas a partir da máquina local do programador, um segundo problema de segurança que a equipa identificou no código-fonte principal do React Native expõe o servidor de desenvolvimento a ataques externos à rede – tornando a vulnerabilidade anterior um problema extremamente crítico”, alerta a JFrog. Os investigadores conseguiram explorar a vulnerabilidade no Windows para a execução de comandos arbitrários do sistema operativo como controlo total dos parâmetros. Embora no Linux e macOS tenham obtido inicialmente execução de código com controlo limitado, a JFrog acredita que o potencial de impacto pode ser ainda maior nestas plataformas. A JFrog salientou que a falha só pode ser explorada por developers que utilizem uma versão vulnerável do pacote npm e dependam do servidor de desenvolvimento Metro. A empresa de segurança confirmou que a vulnerabilidade foi rapidamente corrigida pela Meta, que continua envolvida na manutenção do framework juntamente com a comunidade de open-source e colaboradores empresariais como a Microsoft. Uma correção para a CVE-2025-11953 está incluída na versão 20.0.0 do pacote. É recomendado que os utilizadores atualizem o pacote [@]react-native-community/cli-server-api para esta versão ou versões superiores em todos os seus projetos. |
Receba todas as novidades na sua caixa de correio!
THREATS
Infostealers responsáveis por mais de 80% da atividade de malware, alerta CNCS
THREATS
Falhas no Microsoft Teams permitem falsificar identidades e manipular mensagens
ANALYSIS
Maioria das PME europeias não têm estratégia de cibersegurança
OPINION
Shadow AI: A ameaça invisível à segurança da sua organização
ITS CONF
Rapid7: “A realidade é que não conseguimos proteger o que não conseguimos ver” (com video)
THREATS
SAP lança novas notas de segurança para corrigir falhas críticas em múltiplos produtos
THREATS
Segredos expostos no GitHub atingem empresas de IA avaliadas em mais de 400 mil milhões de euros
THREATS
TP-Link: EUA avançam com proposta para banir a marca
THREATS
Vulnerabilidade zero-day em dispositivos explorada para distribuir spyware
THREATS
Plataformas de cloud e IA são porta de entrada para ataques no setor industrial
