MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
JFrog Ltd (Nasdaq : FROG), la société à l’origine du Liquid Software et créatrice de la plateforme primée JFrog Software Supply Chain, annonce la découverte d’une vulnérabilité critique d’exécution de code à distance (RCE) (score CVSS 9.8) affectant React Native, un framework open source populaire pour le développement d’applications mobiles multiplateformes.
La vulnérabilité a été identifiée dans un package appartenant au projet plus vaste React Native Community CLI, largement adopté par les développeurs. Cette CLI, un ensemble d’outils en ligne de commande, facilite la création d’applications mobiles avec React Native. La faille CVE-2025-11953 permet à des attaquants non authentifiés présents sur le même réseau d’exécuter à distance des commandes arbitraires du système d’exploitation sur la machine d’un développeur, dès lors que le serveur de développement de la CLI est actif. Ce risque est aggravé par une seconde vulnérabilité, également répertoriée sous la CVE-2025-11953, qui expose le serveur de développement aux attaques en provenance de réseaux externes, rendant ainsi la première faille particulièrement critique.
« Cette vulnérabilité critique est particulièrement dangereuse en raison de sa facilité d’exploitation, de l’absence de mécanismes d’authentification et de l’étendue de sa surface d’attaque. Elle met également en lumière les risques majeurs que peuvent dissimuler les composants tiers du code », a déclaré Or Peles, Senior Security Researcher chez JFrog. « Pour les équipes de développement et de sécurité, cette découverte rappelle l’importance d’une analyse de sécurité automatisée et exhaustive sur l’ensemble de la chaîne d’approvisionnement logicielle, afin d’identifier et de corriger les failles exploitables avant qu’elles ne compromettent l’organisation. »
Sur Windows, la vulnérabilité permet d’exécuter des commandes arbitraires du système d’exploitation avec un contrôle complet des paramètres : un attaquant peut lancer n’importe quelle commande en manipulant le paramètre url d’une requête POST envoyée à l’endpoint /open-url. Sur Linux et macOS, elle autorise l’exécution d’exécutables arbitraires avec un contrôle des paramètres plus limité, même si un contrôle complet pourrait être possible à l’issue de recherches complémentaires.
L’application des étapes suivantes permettra d’atténuer CVE-2025-11953 :
Mettre à jour @react-native-community/cli-server-api vers la version 20.0.0, qui inclut un correctif pour CVE-2025-11953, dans chacun de vos projets React Native. Il s’agit de la solution recommandée.
Mettre à jour @react-native-community/cli-plugin vers la version 20.0.0, afin de s’assurer que le serveur de développement ne se lie pas par défaut à des interfaces réseau externes.
Pour consulter l’analyse technique complète et les étapes de remédiation détaillées, rendez-vous sur le blog :
