CISA Warns of React Native Community Command Injection Vulnerability Exploited in Attacks
2026/02/06 CyberSecurityNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、React Native Community CLI に存在する OS コマンド・インジェクションの脆弱性 CVE-2025-11953 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は、実環境において既に悪用されていることが確認されている。この脆弱性情報は 2026年2月5日に KEV に追加され、連邦機関に対する修正期限は 2026年2月26日と定められている。CISA は FCEB 機関に対し、迅速な対応を強く求めている。米政府組織は BOD 22-01 に従い、AWS/Azure などのクラウド・サービスにおいて最小権限アクセスを徹底する必要がある。
公開された Metro Development Server を運用する開発者にとって、この脆弱性は深刻なリスクをもたらすものだ。 React Native は、Meta/Shopify などの企業で採用されているクロス・プラットフォーム向けモバイル・アプリ・フレームワークであり、プロジェクト管理には Community CLI、高速バンドル処理には Metro bundler を使用している。
認証不要の POST リクエストを、脆弱なエンドポイントに送信する攻撃者により、リモートから任意のコマンドを実行される可能性がある。Windows 環境では、指定された引数付きでシェルの完全な制御が可能となり、ランサムウェア展開/データ流出/永続的バックドア設置などが引き起こされる恐れがある。 React Native の脆弱性は、サードパーティ・ライブラリ/独自アプリケーションに対しても波及し、サプライチェーン・リスクを増幅させる可能性がある。
現時点では、ランサムウェアとの直接的な関連は確認されていないが、APT キャンペーンにおける初期侵入ベクターとして、攻撃者が開発ツールの脆弱性を好む傾向がある。 CI/CD パイプラインや開発環境を運用する企業は、きわめて高いリスクに直面する。ローカル開発ワークフローでの使用を前提とする Metro サーバが外部公開され、かつ、ネットワーク分離が不十分な場合には、横展開を許容するリスクも生じる。
SOC チームが重点的に監視すべき点は、CLI エンドポイント (例: /cli/debugger) への異常な POST リクエストや、想定外のプロセス生成といった IOCs となる。即時対応として、GitHub 上で公開されている修正を適用し、npx @react-native-community/cli@latest doctor により更新状況を確認することが推奨される。
防御策として挙げられるのは、Metro のデフォルト・ポート (8081) をファイアウォールで遮断すること、EDR によりコマンド・ライン監視を有効化すること、未修正状態での利用を中止することである。
脅威ハンティングの観点では、”cmd.exe /c” と CLI 引数の組み合わせや、Metro トラフィック急増を検知する Sigma ルールが有効である。
開発者にとって必要なことは、開発用サーバを決してインターネットに公開しないことである。このインシデントが改めて示すのは、2026 年に拡大する攻撃対象領域において、開発ツールが主要な標的となっていることである。
この問題の原因は、React Nativeプロジェクトの管理に使われるCommunity CLIにおいて、外部からの入力を適切に検証せずにシステムコマンドとして実行してしまう設計上の不備にあります。具体的には、開発用サーバーである Metro bundler が稼働している際に、認証なしで送信された特定の POST リクエストに含まれる引数を、そのままシェルに渡してしまうという問題があります、それにより、リモートから OS コマンドを実行される “OSコマンド・インジェクション” が成立してしまいます。この脆弱性 CVE-2025-11953 が、CISAの KEV に登録されたことで、米政府組織内での悪用が明らかになりました。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-11953 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.