主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规

• 技术

漏洞利用详情

攻击者正在积极利用React Native CLI Metro服务器中的高危漏洞（CVE-2025-11953）。该漏洞存在于React Native CLI的Metro开发服务器中，该服务器默认绑定外部接口并暴露命令注入缺陷。未经认证的攻击者可发送POST请求执行任意程序，在Windows系统上还能运行参数完全可控的shell命令。

安全公告指出："由React Native社区CLI启动的Metro开发服务器默认会绑定外部接口。该服务器暴露的端点存在操作系统命令注入漏洞，使得未经认证的网络攻击者能够向服务器发送POST请求并运行任意可执行文件。在Windows系统上，攻击者还能执行参数完全可控的任意shell命令。"

攻击活动分析

Metro是React Native使用的JavaScript打包工具和开发服务器，默认配置会暴露端点，允许攻击者在Windows系统上执行操作系统命令。

VulnCheck研究人员发现，在漏洞被广泛披露前数周就已出现持续的实际攻击案例。该机构于2025年12月21日首次观测到CVE-2025-11953（又称Metro4Shell）的实际利用，随后在2026年1月再次发现攻击活动，表明攻击者持续利用该漏洞。尽管存在这些攻击，该漏洞仍未引起广泛关注，EPSS（漏洞利用预测评分系统）评分仅为0.00405。

VulnCheck发布的公告强调："在首次野外利用一个多月后，这些攻击活动仍未获得广泛认知。这种已观测到的利用与普遍认知之间的差距值得警惕，特别是对于易于利用且暴露在公共互联网上的漏洞。"

恶意软件技术细节

VulnCheck确认CVE-2025-11953存在持续活跃的利用行为，表明攻击者已将其投入实际攻击而非测试。攻击者通过cmd.exe投递多阶段Base64编码的PowerShell加载器，禁用Microsoft Defender防护，通过原始TCP获取有效载荷，最终执行下载的二进制文件。该恶意软件为UPX压缩的Rust程序，具备基础的反分析功能。

专家指出，攻击者连续数周重复使用相同的基础设施和技术手段。VulnCheck警告称，缺乏公开认知可能导致防御者准备不足，因为漏洞利用往往远早于官方确认时间。

攻击网络基础设施

以下是涉及的网络基础设施：

威胁指标	观测角色
65.109.182.231	漏洞利用源
223.6.249.141	漏洞利用源
134.209.69.155	漏洞利用源
8.218.43.248	有效载荷托管（Windows）
47.86.33.195	有效载荷托管（Windows/Linux）

报告总结道："CVE-2025-11953的重要性不在于其存在本身，而在于它再次印证了一个防御者需要不断重新认识的模式——可被访问的开发基础设施即刻就会成为生产基础设施，无论其初衷如何。"

参考来源：

Hackers abused React Native CLI flaw to deploy Rust malware before public disclosure

本文为 独立观点，未经授权禁止转载。 如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）

被以下专辑收录，发现更多精彩内容

+ 收入我的专辑

+ 加入我的收藏

相关推荐

• 0 文章数
• 0 关注者