出典: Security NEXT – https://www.security-next.com/176743
React Native CLIに重大な脆弱性が発見 – 外部からのコマンド実行リスク
JavaScriptとReactを用いてマルチプラットフォームのアプリ開発を支援するフレームワーク「React Native」のコマンドラインインタフェース(CLI)に、外部から任意のコマンドが実行される脆弱性が明らかになりました。本記事では、この脆弱性の概要と影響、対策について解説します。
主要なポイント
- 脆弱性の内容(CVE-2025-11953): React Native CLIが起動する「Metro Development Server」が外部インタフェースにデフォルトでバインドされ、第三者がコマンドを実行できるリスクが存在。
- 影響範囲: Windows環境では任意のOSコマンドが実行可能。macOSやLinuxでも制限はあるものの、任意の実行ファイルを実行できる可能性がある。
- 深刻度評価: CVSSv3.1のベーススコアは9.8で、「クリティカル(Critical)」レベルと非常に高い。
- 修正状況: 「cli-server-api 20.0.0」で修正済み。利用者は速やかなアップデートが推奨されている。
技術的な詳細や背景情報
React NativeはJavaScriptとReactを用いてiOSやAndroidなど複数のプラットフォーム向けにネイティブアプリを開発できるフレームワークです。開発時に使用する「React Native CLI」は、開発サーバとして「Metro Development Server」を起動します。
今回の脆弱性は、このMetroサーバが起動時に外部インタフェースにバインドされてしまい、ネットワーク経由でサーバのAPIにアクセス可能になる点にあります。これにより、悪意のある第三者がリモートからコマンドを送信し、任意のOSコマンドや実行ファイルを実行できてしまいます。
特にWindows環境では制限がなく任意のコマンド実行が可能であり、macOSやLinuxでもパラメータ制限はあるものの、攻撃のリスクは依然として高い状況です。
影響や重要性
この脆弱性は開発環境におけるリモートコード実行(RCE)を許すため、攻撃者が開発マシン上で任意の操作を行える可能性があります。これにより、ソースコードの改ざんや情報漏洩、さらには開発環境を踏み台にした社内ネットワークへの侵入など、深刻なセキュリティインシデントに発展する恐れがあります。
CVSSスコア9.8の「クリティカル」評価は、迅速な対応が必要であることを示しています。特に、外部ネットワークに開発サーバが公開されている場合は、即座にアップデートやアクセス制限を行うことが重要です。
まとめ
React Native CLIのMetro Development Serverに存在したCVE-2025-11953の脆弱性は、外部からの任意コマンド実行を許す深刻な問題です。Windowsを含む複数のOS環境で影響があり、攻撃者によるリモートコード実行のリスクが高いため、利用者は速やかに「cli-server-api 20.0.0」以降へのアップデートを実施してください。
開発環境のセキュリティを確保するためにも、外部公開の有無を確認し、必要に応じてファイアウォール設定やアクセス制限を強化することが推奨されます。
