Критична ранливост во React Native активно се злоупотребува

Иако претежно се сметаше за теоретски ризик, пропустот е искористен за оневозможување на заштити и испорака на малициозен софтвер. Актери на закани ја злоупотребуваат критичната ранливост во React Native во напади уште од крајот на декември, предупредува VulnCheck.

Ранливоста се следи како CVE-2025-11953 (CVSS оценка 9.8) и беше обелоденета на почетокот на ноември. Таа го погодува исклучително популарниот NPM пакет React Native Community CLI (@react-native-community/cli), кој има околу два милиони неделни преземања.

Пакетот е дел од проектот React Native Community CLI, кој беше издвоен од open-source рамката за подобра одржливост и обезбедува сет на командно-линиски алатки за градење апликации.

Иако CVE-2025-11953 и други ранливости што ги погодуваат развојните сервери обично се експлоатабилни само од локалната машина на програмерот, втор проблем во React Native ги изложува серверите на надворешни напаѓачи, предупреди компанијата за безбедност на софтверскиот синџир JFrog во ноември.

Сега VulnCheck го повторува предупредувањето откако забележа реална злоупотреба на оваа CVE, и покрај ограниченото јавно внимание.

„Од крајот на јануари, јавната дискусија главно ја прикажува CVE-2025-11953 како теоретски ризик, а не како активен вектор за упади. Токму овој јаз е местото каде што бранителите најчесто се неподготвени“, наведува VulnCheck во нов извештај.

Компанијата за разузнавање за ранливости, која го нарече пропустот Metro4Shell, забележала почетни обиди за експлоатација на 21 декември, а потоа зголемена активност на 4 и 21 јануари, што укажува на континуирана оперативна употреба. Илјадници React Native инстанци достапни преку интернет може да бидат изложени на ризик.

„Овој јаз меѓу забележаната злоупотреба и поширокото препознавање е важен, особено за ранливости што лесно се експлоатираат и кои, според податоците од пребарувања на ниво на интернет, се изложени на јавниот интернет“, вели VulnCheck.

Според компанијата, ранливоста Metro4Shell во React Native се наоѓа во Metro, JavaScript bundler-от и развојниот сервер што React Native апликациите го користат во фазите на развој и тестирање.

По дифолт, Metro може да се врзе за надворешни интерфејси, со што ги изложува инсталациите на неавтентицирано, далечинско извршување на OS команди преку едноставни POST барања.

VulnCheck забележал дека напаѓачите распоредуваат повеќестепен loader базиран на PowerShell, дизајниран да ги оневозможи заштитите на Microsoft Defender, да воспостави сурова TCP конекција со серверот на напаѓачите, да испрати GET барање и да прими payload, а потоа да го изврши преземениот payload.

„Истата методологија беше забележана во повеќе напади. Намерното оневозможување на заштитите на Microsoft Defender пред преземањето на payload-от укажува дека напаѓачот ја очекувал присутноста на endpoint безбедносни контроли и вградил техники за избегнување уште во почетниот тек на извршување“, наведува VulnCheck.

Крајниот payload е напишан во Rust и содржи основна логика за анти-анализа. VulnCheck забележал payload-и насочени и кон Windows и кон Linux системи.

„CVE-2025-11953 не е забележлива затоа што постои. Таа е забележлива затоа што го зацврстува моделот што бранителите постојано го учат одново. Развојната инфраструктура станува продукциска инфраструктура во моментот кога е достапна преку мрежа, без оглед на намерата“, заклучува VulnCheck.

Извори:

• SecurityWeek – Critical React Native Vulnerability Exploited in the Wild SecurityWeek