Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in React Native Metro-server. Dat laat securitybedrijf Vulncheck in een analyse weten. React Native is een populair framework voor het ontwikkelen van mobiele apps in JavaScript. Het gebruikt de Metro als avaScript bundler en development server.

Een kwetsbaarheid in de software, aangeduid als CVE-2025-11953, maakt het mogelijk voor een ongeauthenticeerde aanvaller om via het versturen van POST requests willekeurige executables en shell commando's op de server uit te voeren. Het probleem wordt veroorzaakt door een endpoint van de server dat kwetsbaar is voor command injection en zonder authenticatie toegankelijk is. De impact van CVE-2025-11953 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Zes maanden geleden verscheen versie 20.0.0 van de software waarin het probleem is verholpen. Begin november werden details van het probleem openbaar gemaakt, waarna proof-of-concept exploitcode online verscheen. Volgens VulnCheck maken aanvallers sinds 21 december actief misbruik van het probleem. Hoewel een update al maanden beschikbaar is zouden op internet mogelijk nog honderden tot duizenden kwetsbare servers te vinden zijn.