Критическая уязвимость в React Native позволяет хакерам захватить контроль над компьютером

Среды разработки стали новой мишенью для киберпреступников. Эксперты из Cyber Security News и VulnCheck бьют тревогу — хакеры активно используют критическую уязвимость в популярном инструменте Metro Server, являющемся сердцем экосистемы React Native.

Уязвимость, обозначенная как CVE-2025-11953 (и получившая название Metro4Shell), позволяет злоумышленникам выполнять произвольный код (RCE) на компьютере жертвы, что на практике означает полный захват контроля над системой.

Угроза касается конфигурации по умолчанию сервера разработки, который часто неосознанно выставляется в публичный доступ к интернету. Используя конечную точку «/open-url», злоумышленники могут внедрять вредоносные системные команды. Наблюдаемые атаки являются изощрёнными — хакеры устанавливают на заражённые машины (как Windows, так и Linux) продвинутое вредоносное ПО, обходя при этом защитные системы, такие как Microsoft Defender.

Что наиболее тревожно, несмотря на то, что уязвимость была обнаружена в конце 2025 года и имеет максимально возможный балл угрозы CVSS (9.8/10), осведомлённость о проблеме всё ещё низка. Многие компании считают инструменты разработки «безопасными по умолчанию», не отслеживая доступ к ним извне. Между тем для хакера нет разницы, взламывает ли он производственный сервер или ноутбук программиста — конечный результат (кража кода, данных, шифровальщик) один и тот же.

Решение одно и не терпит отлагательств — немедленное обновление пакета «@react-native-community/cli» до версии 20.0.0 или новее. Эксперты также рекомендуют абсолютно изолировать среды разработки от публичного интернета. Если вы используете старые версии React Native и открываете порты для внешнего мира, вы играете в русскую рулетку со своими данными.