Tag: CVE-2025-11953

CISA KEV 警告 26/02/05:React Native Community CLI の脆弱性 CVE-2025-11953 を登録

CISA Warns of React Native Community Command Injection Vulnerability Exploited in Attacks

2026/02/06 CyberSecurityNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、React Native Community CLI に存在する OS コマンド・インジェクションの脆弱性 CVE-2025-11953 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は、実環境において既に悪用されていることが確認されている。この脆弱性情報は 2026年2月5日に KEV に追加され、連邦機関に対する修正期限は 2026年2月26日と定められている。CISA は FCEB 機関に対し、迅速な対応を強く求めている。米政府組織は BOD 22-01 に従い、AWS/Azure などのクラウド・サービスにおいて最小権限アクセスを徹底する必要がある。

Continue reading “CISA KEV 警告 26/02/05:React Native Community CLI の脆弱性 CVE-2025-11953 を登録”

React Native CLI Metro サーバの脆弱性 CVE-2025-11953:積極的な悪用を確認

Hackers abused React Native CLI flaw to deploy Rust malware before public disclosure

2026/02/03 SecurityAffairs — React Native CLI の Metro 開発サーバに存在する深刻な脆弱性 CVE-2025-11953 が、現在も攻撃者により積極的に悪用されている状況が確認されている。React Native Community CLI により起動される Metro 開発サーバは、デフォルト設定で外部インターフェイスにバインドされており、OS コマンド・インジェクションに対して脆弱なエンドポイントを公開している。それを悪用する未認証のネットワーク攻撃者は、POST リクエストを送信するだけで、任意のファイル実行が可能になる。特に Windows 環境では、引数を完全に制御した状態での、任意のシェル・コマンドの実行に至る恐れがある。

Continue reading “React Native CLI Metro サーバの脆弱性 CVE-2025-11953:積極的な悪用を確認”