Se ha descubierto una vulnerabilidad de severidad crítica en el componente Metro Development Server de React Native Community CLI. Un actor malicioso podría ejecutar código arbitrario de manera remota y no autenticada a través de la explotación de una vulnerabilidad de inyección de comandos del sistema operativo.
Productos afectados
- React Native Community CLI (Metro Development Server): todas las versiones anteriores a v20.0.2 (commit 15089907d1f1301b22c72d7f68846a2ef20df547)
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-11953: con una puntuación de 9.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos del sistema operativo en el endpoint /open-stack-frame del servidor Metro. Un actor malicioso podría enviar solicitudes especialmente diseñadas a este endpoint y ejecutar comandos arbitrarios en el sistema host, logrando la ejecución remota de código sin necesidad de autenticación previa.
Nota: Existe una prueba de concepto disponible para esta vulnerabilidad.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-11953