Kritiek lek in ontwikkeltool van React Native actief misbruikt

woensdag, 4 februari 2026 (11:09) - Techzine

In dit artikel:

Aanvallers maken actief misbruik van een kritische kwetsbaarheid (CVE-2025-11953) in de Metro‑server van React Native om ontwikkelomgevingen binnen te dringen. Metro is de standaard JavaScript‑bundler tijdens ontwikkeling; hoewel vaak lokaal gebruikt, kan het zich ook aan externe netwerkinterfaces binden en ontwikkel‑HTTP‑eindpunten openen die nu als aanvalsvector fungeren.

Het probleem zit in het /open-url‑eindpunt: POST‑verzoeken met een meegeleverde URL worden zonder voldoende validatie doorgegeven, waardoor op Windows volledige systeemcommando’s uitgevoerd kunnen worden en op Linux/macOS uitvoerbare bestanden gestart kunnen worden. Getroffen zijn versies van @react-native-community/cli-server-api van 4.8.0 tot en met 20.0.0‑alpha.2; de patch zit in 20.0.0 en hoger, maar veel omgevingen zijn nog niet geüpdatet.

Kort na openbaarmaking verschenen proof‑of‑concepts en zijn daadwerkelijke aanvallen waargenomen. De aanvallers sturen base64‑gecodeerde PowerShell‑payloads naar blootgestelde Metro‑endpoints; die schakelen beveiliging uit door Defender‑uitsluitingen toe te voegen, zetten een TCP‑kanaal op naar kwaadaardige infrastructuur en laden extra malware die in tijdelijke mappen wordt opgeslagen en uitgevoerd. De Windows‑payload is een in Rust geschreven, met UPX gecomprimeerde binary; er zijn ook Linux‑binaries aangetroffen.

Wereldwijde scans tonen duizenden publiek bereikbare Metro‑servers — vaak ontwikkelmachines die nooit bedoeld waren voor internet — wat deze kwetsbaarheid aantrekkelijk maakt vanwege zwakkere beveiliging en toegang tot broncode, sleutels en interne netwerken. Onderzoekers publiceerden indicatoren van compromittering en waarschuwen dat lage scores in voorspellingssystemen geen reden zijn tot afwachten.

Aanbevelingen: direct updaten naar 20.0.0+, Metro alleen aan localhost binden, toegang via firewall of netwerk‑ACLs blokkeren, systemen scannen op IOCs en Defender‑uitsluitingen controleren, tijdelijke mappen onderzoeken en geheimen/credentials roteren.