React Native Metro 严重漏洞（CVE-2025-11953）被利用于开发系统入侵

React Native Metro 服务器漏洞在定向攻击中被利用

安全研究人员已确认，CVE-2025-11953（React Native Metro 服务器中的严重漏洞）正被威胁者积极利用，攻击者通过该漏洞入侵开发者系统，并植入 Windows 和 Linux 恶意软件。

关键细节

• 漏洞编号：CVE-2025-11953（CVSS 评分待定）
• 受影响组件：Metro 服务器（React Native 的 JavaScript 打包工具）
• 攻击向量：通过精心构造的请求实现远程代码执行（RCE）
• 目标平台：Windows 和 Linux 开发环境
• 发现机构：由安全公司 SonarSource 于 2025 年 2 月报告

技术分析

该漏洞源于 Metro HTTP 服务器中的输入验证不当。在 React Native 应用开发过程中，Metro 服务器默认监听 localhost:8081 端口。攻击者可通过向该服务器发送精心构造的请求，绕过安全控制，并以 Metro 进程权限执行任意代码。

利用条件：

• Metro 服务器必须处于运行状态（在应用开发过程中常见）
• 攻击者需能够访问目标系统网络（例如通过受感染的依赖项或钓鱼攻击）

影响与风险

1. 供应链威胁：被入侵的开发者系统可能导致 React Native 应用被注入恶意代码，进而影响下游用户。
2. 横向移动：攻击者可能从被入侵的开发环境扩散至生产系统或企业内部网络。
3. 数据泄露：存储在开发环境中的敏感知识产权、API 密钥或凭据面临风险。

缓解措施与建议

安全团队和开发者应立即采取行动：

1. 补丁管理：

   • 升级至最新版 React Native（2025 年 3 月 5 日发布的补丁）。
   • 应用 React Native 团队提供的 Metro 服务器安全更新。

2. 临时解决方案：

   • 在非使用期间禁用 Metro 服务器。
   • 通过防火墙规则或网络分段限制对 localhost:8081 的访问。

3. 监控：

   • 部署 EDR/XDR 解决方案，检测开发者工作站上的异常进程执行。
   • 监控开发环境中的异常出站连接。

4. 安全开发实践：

   • 审计第三方依赖项是否存在被入侵迹象。
   • 对开发工具实施最小权限访问控制。

入侵指标（IOCs）

虽然具体 IOC 尚未公开，但组织应调查以下可疑活动：

• Windows/Linux 系统上由 node.exe 或 metro 进程意外生成的子进程。
• 与 localhost:8081 相关的可疑网络流量。
• 对 React Native 项目文件的未授权修改。

注意：CVE-2025-11953 凸显了针对开发者工具作为供应链攻击入口的日益增长趋势。安全团队应优先加固开发环境，与生产系统同等重视。