Une vulnérabilité sévère a été découverte dans React Native : la CVE-2025-11953. Elle permet d'exécution du code distant. Cette faille se fait via un package compromis : @react-native-community/cli. Ce paquet est téléchargé 2 millions de fois par semaine ! La faille permet à un hacker non autorisé d'envoyer des commandes au système depuis une machine ayant le package compromis. 

"La vulnérabilité a été identifiée dans un package appartenant au projet plus vaste React Native Community CLI, largement adopté par les développeurs. Cette CLI, un ensemble d’outils en ligne de commande, facilite la création d’applications mobiles avec React Native. La faille CVE-2025-11953 permet à des attaquants non authentifiés présents sur le même réseau d’exécuter à distance des commandes arbitraires du système d’exploitation sur la machine d’un développeur, dès lors que le serveur de développement de la CLI est actif. Ce risque est aggravé par une seconde vulnérabilité, également répertoriée sous la CVE-2025-11953, qui expose le serveur de développement aux attaques en provenance de réseaux externes, rendant ainsi la première faille particulièrement critique." explique l'annonce faite par les équipes de JFrog. La vulnérabilité est présente dans les versions 4.8.0 à 20.0.0 alpha 2. 

Comment atténuer la vulnérabilité CVE-2025-11953 ?

• Mettre à jour @react-native-community/cli-server-api vers la version 20.0.0, qui inclut un correctif pour CVE-2025-11953, dans chacun de vos projets React Native. Il s’agit de la solution recommandée.
• Mettre à jour @react-native-community/cli-plugin vers la version 20.0.0, afin de s’assurer que le serveur de développement ne se lie pas par défaut à des interfaces réseau externes.

Présentation complète de la vulnérabilité : https://jfrog.com/blog/CVE-2025-11953-critical-react-native-community-cli-vulnerability/?utm_source=social&utm_medium=socialposts&utm_campaign=reactnative&utm_content=blog