Quantum News 
Nova Vulnerabilidade de Alta Gravidade Descoberta
Uma vulnerabilidade crítica de segurança, identificada como CVE-2025-11953, foi descoberta no pacote NPM da Command Line Interface (CLI) da comunidade React Native. A falha, que recebeu uma pontuação de 9.8 no CVSS (Common Vulnerability Scoring System), afeta o pacote @react-native-community/cli, uma ferramenta essencial para a construção de aplicativos com a popular framework e que registra aproximadamente dois milhões de downloads semanais.
Riscos e Impacto da Falha
De acordo com pesquisadores da empresa de segurança da cadeia de suprimentos de software JFrog, a vulnerabilidade pode permitir que invasores não autenticados executem comandos arbitrários no servidor de desenvolvimento. Isso ocorre através do envio de requisições POST manipuladas para o servidor. O problema é agravado por uma segunda falha no código principal do React Native, que expõe o servidor de desenvolvimento a ataques de rede externos, tornando uma vulnerabilidade local em uma ameaça remota de alto risco.
Os pesquisadores demonstraram com sucesso a execução de comandos arbitrários em sistemas operacionais Windows, macOS e Linux. Embora o controle dos parâmetros do ataque em Linux e macOS tenha sido inicialmente limitado, acredita-se que o impacto nessas plataformas possa ser igualmente severo. A exploração é possível em ambientes de desenvolvimento que utilizam uma versão vulnerável do pacote e dependem do servidor de desenvolvimento Metro.
Correção e Medidas de Mitigação
A Meta, desenvolvedora original do React Native, agiu rapidamente para corrigir a vulnerabilidade. Uma correção para a falha CVE-2025-11953 foi disponibilizada na versão 20.0.0 do pacote. Desenvolvedores que utilizam o React Native Community CLI são fortemente aconselhados a atualizar para a versão mais recente para proteger seus ambientes de desenvolvimento contra possíveis ataques. A rápida resposta da Meta, que mantém o projeto com o apoio de uma vasta comunidade de código aberto e contribuições de empresas como a Microsoft, foi crucial para mitigar o risco para milhões de usuários.
