Revenir aux alertes

Bulletin d'alerte

Vulnérabilité dans React Native Community CLI

février 2026

Résumé

Une faille de sécurité critique a été découverte dans React Native Community CLI, le package npm @react-native-community/cli, largement utilisé par les développeurs pour créer des applications mobiles. Référencée sous CVE-2025-11953 et surnommée « Metro4Shell », cette vulnérabilité permet à un attaquant non authentifié d’exécuter à distance du code malveillant. Le serveur de développement Metro intégré dans ce package expose un endpoint /open-url qui permet à n’importe quel attaquant connecté au même réseau ou sur Internet d’envoyer des requêtes spécialement conçues et de lancer des commandes du système d’exploitation.

Le problème est aggravé par le fait que ce package est téléchargé environ 2 millions de fois par semaine, ce qui signifie que potentiellement des millions de développeurs sont exposés à cette faille.

 

Solutions

Mettez à jour sans délai le package @react-native-community/cli vers la version 20.0.0 ou supérieure. Pour cela, exécutez la commande : npm install @react-native-community/cli@latest dans votre projet.

De plus, assurez-vous que votre serveur de développement Metro n’est jamais exposé sur Internet. Ne laissez pas ce serveur accessible de l’extérieur de votre réseau local.

La faille est activement exploitée : Oui

 

Details techniques

Score CVSS : 9.8 sur 10

EPSS : 0,00405

 

Systèmes affectés

Package @react-native-community/cli versions 4.8.0 à 20.0.0-alpha.2

Package @react-native-community/cli-server-api versions antérieures à 20.0.0

Tous les développeurs utilisant ces versions sont vulnérables, en particulier si leur serveur de développement est accessible depuis Internet.

 

Documentation

Référence officielle DGSSI (Maroc) : Exploitation active d’une vulnérabilité critique dans React Native (CVE-2025-11953 – Metro4Shell)

Bulletin de sécurité JFrog : Analyse détaillée de la vulnérabilité découverte par JFrog Security Research

NIST Details CVE : https://nvd.nist.gov/vuln/detail/CVE-2025-11953

CVE Details : https://www.cvedetails.com/cve/CVE-2025-11953/

Reference CVE : https://www.cve.org/CVERecord?id=CVE-2025-11953

CWE (Common Weakness Enumeration) : CWE-78 (Injection de commandes du système d’exploitation)

 

Signaler un incident de sécurité en remplissant ce formulaire. Notre équipe vous recontactera dans les plus brefs délais.

« * » indique les champs nécessaires

Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.
RGPD*