情資內容

一、漏洞說明[1] React Native CLI（@react-native-community/cli）為 React Native 框架之命令列工具，供開發人員進行跨平台行動應用程式的建立與開發管理。該工具所使用的 Metro 開發伺服器（用於建置 JavaScript 程式碼等）於啟動時，預設綁定至外部網路介面，並載入 @react-native-community/cli-server-api 套件作為中介軟體以提供 API 功能，並對外提供「/open-url」API端點。 該套件存在一項高風險漏洞CVE-2025-11953，又被稱為 Metro4Shell，主因為端點處理 POST 請求時，未對使用者輸入內容進行適當驗證，即直接將其傳遞至套件中不安全的 open() 函式，導致未經身分驗證之遠端攻擊者可能透過特製請求於執行 Metro 開發伺服器之主機上觸發作業系統指令注入（OS Command Injection），進而造成遠端程式碼執行風險。 於 Windows 作業系統環境中，攻擊者可執行具完整參數控制的 Shell 指令；於 macOS 與 Linux 作業系統環境中，則可觸發任意可執行檔案。 二、已揭露攻擊活動說明 1.資安業者 VulnCheck 指出，該漏洞自2025年12月底起即遭利用，並於 2026年1月期間持續觀測到相關攻擊行為，提供之相關IoC已彙整至附件入侵威脅指標。[2] 2.CISA已將納入漏洞利用清單。[3] 3.GitHub 平台已公開針對該漏洞之概念驗證（PoC）程式碼。[4]