kpl投注app 黑客足下 React Native Metro 高危过错入侵开发者系统
发布日期:2026-02-14 11:19 点击次数:187
黑客正针对开发者群体发起报复,其妙技是足下 React Native 框架 Metro 就业器中编号为 CVE-2025-11953 的高危过错,向 Windows 与 Linux 系统投放坏心载荷。
在 Windows 系统环境下,未授权报复者可借助该过错,通过发送 POST 请务实施恣意操作系统号令;而在 Linux 和 macOS 系统中,该过错则可能导致报复者在有限参数弃世的前提下,运行恣意可实施文献。
Metro 是 React Native 项主张默许 JavaScript 打包器具,是应用开发阶段构建和运行门径的中枢组件。
{jz:field.toptypename/}默许情况下,Metro 会绑定外部集聚接口,并通达仅供开发调试使用的 HTTP 端点(/open-url),以骄横腹地开发需求。
商议东说念主员发现了这一过错,并于前年 11 月初对外败露。过错公开后,多个宗旨考证(PoC)足下门径飞速出现。
据悉,比赛下注app官方网站该过错的根源在于 Metro 就业器的 /open-url HTTP 端点会承袭 POST 申请顶用户提交的 URL 参数,且该参数未经任何安全算帐,便径直传递给系统的 open ( ) 函数实施。
该过错影响边界诡秘 @react-native-community/cli-server-api 器具的 4.8.0 至 20.0.0-alpha.2 版块,官方已在 20.0.0 及后续版块中完成过错开荒。
2025 年 12 月 21 日,有胁迫者最先足下这一过错发起报复,该报复活动被定名为 Metro4Shell。而后在次年 1 月 4 日和 21 日,kpl投注app报复者仍在通过该过错投放疏导的坏心载荷。
报复者已通过该过错在 Linux 和 Windows 平台生效送达高档坏心载荷,这标明 Metro4Shell 已成为一种切实可行的跨平台运转访谒妙技。
商议东说念主员发现,在这三次报复中,报复者均将过程 Base64 编码的 PowerShell 坏心载荷瞒哄在坏心申请的 HTTP POST 申请体中,发送至透露在外的 Metro 就业器端点。
这些载荷解码并启动后,会实施以下一系列坏心操作:
1. 禁用结尾提神:调用 Add-MpPreference 号令,将面前职责目次和系统临时目次添加至微软 Defender 的排斥旅途,规避查杀;
2. 取得后续载荷:与报复者弃世的就业器设立原始 TCP 团结,发送 GET /windows 申请以取得下一阶段的坏心门径;
3. 写入坏心文献:将承袭的数据写入系统临时目次,保存为可实施文献;
4. 实施坏心门径:运行下载的二进制文献,并附带一段由报复者指定的超长参数字符串。
这次报复中投放的 Windows 平台载荷,是一个基于 Rust 话语开发、经 UPX 加壳措置的二进制文献,内置基础反分析逻辑。报复者弃世的吞并就业器中,还存放有对应的 Linux 平台坏心门径,可见该报复活动同期诡秘两大主流操作系统。
据扫描数据骄气,当今透露在公网环境中的 React Native Metro 就业器约有 3500 台。 尽管该过错已被报复者捏续足下提高一个月,但在过错足下推断评分系统中,其风险评分仍处于较低水平。
商议东说念主员强调:"企业切弗成恭候该过错被列入 CISA 已知被足下过错目次、厂商发布关连通报或行业酿成粗糙共鸣后,才采纳提神款式。"
备案号: