Trusted DesignCVE-2025-11953 の詳細
CVEの情報
説明:
The Metro Development Server, which is opened by the React Native Community CLI, binds to external interfaces by default. The server exposes an endpoint that is vulnerable to OS command injection. This allows unauthenticated network attackers to send a POST request to the server and run arbitrary executables. On Windows, the attackers can also execute arbitrary shell commands with fully controlled arguments.
CVE更新日: 2025-11-03 17:15:32.677000
CVSSバージョン: 3.1
CVSSスコア: 9.8
KEVの情報
KEV更新日: 2026-02-05
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.084200000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
CVE-2025-11953はReact Native Community CLIが起動するMetro Development Serverに存在するOSコマンドインジェクション脆弱性。Metroサーバはデフォルトで外部ネットワークにバインドされるため、攻撃者は認証なしで任意OSコマンドを実行可能。JFrogが2025/11/4に公開し、NVDも同内容を確認。 【1. 脆弱性の概要】 ■ 影響 - 認証不要で任意OSコマンド実行(RCE)が可能。 - HTTP POSTを送るだけで攻撃可能。 - Windowsでは任意のシェルコマンドを完全制御された引数で実行可能。 - 公開PoC・実際の攻撃(Metro4Shell)が確認されている。 ■ 深刻度 - CVSS 3.1:9.8(Critical) 【2. 対象となる環境】 ■ 影響バージョン - @react-native-community/cli-server-api 4.8.0 ~ 20.0.0-alpha.2 - 修正版:20.0.0以降 ■ OS - Windows / macOS / Linux - OS依存の制限なし ■ 設定 - Metroサーバが外部ネットワークからアクセス可能な状態 - デフォルト設定(0.0.0.0 バインド)で脆弱性が顕在化 【3. 影響を受けた時の兆候】 公開 IOC はないが、以下の兆候が考えられる。 - Metroサーバへの不審なPOSTリクエスト - 不審なOSコマンド実行 - Metro4Shellとして実際の攻撃が観測されている 【4. 推奨対策】 ■ 本対策 - @react-native-community/cli-server-apiを20.0.0以降へ更新 - React Native CLIを最新化 - Metroサーバを外部公開しない構成へ変更 ■ 暫定回避策 - Metroサーバを127.0.0.1で起動 - FW/WAFで8081ポートを外部遮断 - CI/CDでMetroを自動起動しない