@react-native-community/cli paketinde tespit edilen kritik bir güvenlik açığı, milyonlarca React Native geliştiricisini uzaktan işletim sistemi komut enjeksiyonuna karşı savunmasız bırakıyor. JFrog Kıdemli Güvenlik Araştırmacısı Or Peles’in raporuna göre, CVE-2025-11953 kodlu bu zafiyet, kimlik doğrulaması gerektirmeden kötü niyetli aktörlerin geliştirme sunucusunda rastgele komutlar çalıştırmasına olanak tanıyor.

Güvenlik Açığının Teknik Detayları

Bu açık, React Native’in Metro geliştirme sunucusunun varsayılan olarak localhost yerine dış arayüzlere bağlanması ve özellikle “/open-url” uç noktasının, open NPM paketinden gelen güvensiz open() fonksiyonuna kullanıcı girdisi iletilmesiyle ortaya çıkıyor. Bu durum, işletim sistemi komutlarının enjeksiyonuna zemin hazırlıyor. Windows ortamlarında saldırganlar, tamamen kontrol ettikleri argümanlarla rastgele kabuk komutları çalıştırabilirken, Linux ve macOS sistemlerinde sınırlı parametre kontrolüyle rastgele ikili dosyalar tetiklenebiliyor.

Etki Alanı ve Çözüm Önerileri

Bu zafiyet, @react-native-community/cli-server-api paketinin 4.8.0 ile 20.0.0-alpha.2 sürümlerini etkiliyor ve Meta tarafından yayımlanan 20.0.0 sürümüyle giderildi. Metro geliştirme sunucusuna bağlı olmayan React Native çerçeveleri bu açığın dışında kalıyor. Ancak, yazılım tedarik zinciri güvenliği açısından, bu tür sıfır gün açıklarının otomatik ve kapsamlı güvenlik taramalarıyla erken tespiti kritik önem taşıyor. Ayrıca, konteyner tabanlı geliştirme ortamlarında rastgele SSH portlarının açılması ve MCP istemcisi gibi araçların yanlış yapılandırılması da benzer riskler oluşturabilir.

Geniş Perspektif

Bu olay, Pydantic AI ve AsyncRAT gibi araçlarda da görülebilen üçüncü taraf kodların gizlediği kritik riskleri gözler önüne seriyor. Yazılım tedarik zinciri boyunca güvenlik önlemlerinin artırılması, sadece React Native değil, tüm modern geliştirme ekosistemleri için hayati önem taşıyor.