Hack Alerta

Exploração ativa do Metro4Shell (CVE-2025-11953) atinge ecossistema React Native

Por Redação Hack Alerta Publicado em 03/02/2026 12:03 Riscos e Ameaças Tempo de leitura: 3 min

Exploração ativa de CVE-2025-11953 (Metro4Shell) contra o Metro Development Server de React Native permite RCE sem autenticação; exploração foi observada pela VulnCheck desde 21/12/2025 e preocupa ambientes de desenvolvimento.

Resumo

Pesquisadores e empresas de segurança reportaram exploração ativa da falha conhecida como Metro4Shell (CVE‑2025‑11953), que afeta o Metro Development Server usado pelo pacote @react-native-community/cli. A vulnerabilidade, com CVSS 9.8, permite execução remota de código sem autenticação.

O que foi observado

Conforme noticiado, a VulnCheck relatou ter observado exploração ativa desde 21 de dezembro de 2025. Vários relatórios indicam que atacantes miram ambientes de desenvolvimento, usando o servidor Metro para entregar payloads maliciosos tanto para Windows quanto para Linux em pipelines de desenvolvimento.

Vetor de ataque e consequências

O Metro Development Server é usado por desenvolvedores React Native para servir bundles e assets durante a fase de desenvolvimento. A falha permite que um atacante remoto e não autenticado execute comandos arbitrários no ambiente que esteja expondo o servidor, o que pode desabilitar proteções e instalar malware.

Evidências públicas e limitações

As fontes descrevem observações práticas de explorações que visam desabilitar proteções e implantar carregadores maliciosos. Não há, nas matérias consultadas, um inventário público de fornecedores/product owners afetados além do pacote apontado, nem estatística consolidada do número de projetos/instâncias exploradas globalmente.

Implicações para equipes de desenvolvimento e segurança

  • Ambientes de desenvolvimento que expõem o Metro server na rede devem ser considerados de alto risco e reavaliados imediatamente.
  • Desenvolvedores e equipes de CI/CD devem validar configurações para garantir que servidores de desenvolvimento não estejam expostos a redes não confiáveis e aplicar controles de rede e autenticação onde possível.
  • A identificação de exploração ativa e o alto CVSS elevam a prioridade de mitigação em ambientes com base em React Native.

O que as organizações devem fazer agora

As recomendações públicas incluem isolar servidores Metro, bloquear portas de desenvolvimento em perímetros de rede, auditar repositórios e pipelines por indicadores de comprometimento e aplicar atualizações/patches fornecidos pelos mantenedores do pacote quando disponíveis. As matérias citadas alertam para a atenção imediata de equipes que mantêm projetos React Native.

Fontes e atribuições

Informações desta matéria baseiam‑se em relatos de exploração ativa e análises de empresas de segurança citadas nas reportagens. Onde não havia confirmação oficial de fornecedores ou métricas de impacto, isso foi indicado na cobertura.

Fonte: The Hacker News (relato da observação da VulnCheck).
Baseado em publicação original de The Hacker News
Tags: #metro4shell #react-native #rce #cve-2025-11953 #devsecurity #vulncheck #metro-server #exploited #seguranca
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar