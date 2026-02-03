Aanvallers maken actief misbruik van een kritieke kwetsbaarheid in React Native Metro-server. Dat laat securitybedrijf Vulncheck in een analyse weten. React Native is een populair framework voor het ontwikkelen van mobiele apps in JavaScript. Het gebruikt de Metro als avaScript bundler en development server.
Een kwetsbaarheid in de software, aangeduid als CVE-2025-11953, maakt het mogelijk voor een ongeauthenticeerde aanvaller om via het versturen van POST requests willekeurige executables en shell commando's op de server uit te voeren. Het probleem wordt veroorzaakt door een endpoint van de server dat kwetsbaar is voor command injection en zonder authenticatie toegankelijk is. De impact van CVE-2025-11953 is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.
Zes maanden geleden verscheen versie 20.0.0 van de software waarin het probleem is verholpen. Begin november werden details van het probleem openbaar gemaakt, waarna proof-of-concept exploitcode online verscheen. Volgens VulnCheck maken aanvallers sinds 21 december actief misbruik van het probleem. Hoewel een update al maanden beschikbaar is zouden op internet mogelijk nog honderden tot duizenden kwetsbare servers te vinden zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.