A CISA adicionou CVE‑2025‑11953 ao seu Known Exploited Vulnerabilities (KEV) catalog, indicando exploração ativa de uma falha de injeção de comandos no React Native Community CLI. A inclusão no KEV traz um prazo federal de correção e alerta para equipes responsáveis por ambientes de desenvolvimento.
O que a falha permite
Segundo a publicação, a vulnerabilidade permite que um atacante envie requisições POST não autenticadas a endpoints do CLI/Metro bundler e execute binários arbitários no servidor de desenvolvimento. Em máquinas Windows, isso pode resultar em execução de comandos com argumentos controlados pelo atacante, oferecendo vetor para instalação de ransomware, exfiltração ou backdoors em ambientes de desenvolvimento expostos.
Por que é crítico para ambientes de desenvolvimento
Ferramentas como o Metro Development Server são usadas em fluxos de desenvolvimento e CI/CD. Expor essas interfaces ao público — configuração ainda presente em alguns cenários de devops e testes — amplia enormemente a possibilidade de comprometimento, que pode evoluir para movimentação lateral se houver falta de segmentação entre ambientes de dev e produção.
Ações recomendadas imediatamente
- Patch: aplicar as correções disponibilizadas no repositório do CLI e verificar com
npx @react-native-community/cli@latest doctor, conforme orientação. - Fechar exposição: bloquear portas do Metro server (8081 por padrão) em perímetros públicos e evitar exposição direta de servidores de desenvolvimento.
- EDR e monitoramento: caçar execuções anômalas de comandos a partir de processos do CLI/Metro e regras Sigma para
cmd.exe /ccom parâmetros suspeitos. - Políticas: seguir boas práticas de isolamento entre ambientes de desenvolvimento e produção e aplicar controle de acesso baseado em princípio do menor privilégio.
- Referência normativa: seguir orientações semelhantes às do BOD 22‑01 para endurecimento de serviços em cloud e acesso remoto.
Detecção e caça a ameaças
Equipes de SOC devem buscar IOCs e anomalias como picos de POSTs a endpoints do CLI (ex.: /cli/debugger), processos filhos inesperados disparados pelo servidor de bundling e conexões de saída cronometradas logo após requisições CLI. A CISA impôs um prazo de 21 dias para correção em ambientes federais (data de inclusão 5 de fevereiro de 2026), reforçando a urgência para organizações que mantêm servidores Metro expostos.
Limitações das informações públicas
As matérias não detalham amostras exploit completas ou métricas de comprometimento global; tampouco atribuem campanhas de ransomware específicas a esta falha. O que está confirmado é a exploração ativa documentada pela CISA e o risco operacional claro para ambientes com servidores Metro expostos.
Conclusão
Trata‑se de uma vulnerabilidade de alto risco porque atinge ferramentas de desenvolvimento amplamente utilizadas e permite execução remota de comandos sem autenticação. A combinação de inclusão no KEV e prazo federal de correção eleva a urgência: aplique correções, isole servidores de desenvolvimento e implemente regras de detecção para atenuar risco de compromissos posteriores.
Fonte: Cyber Security News (compilação do aviso da CISA sobre CVE‑2025‑11953).