Une vulnérabilité critique a été récemment découverte dans le paquet CLI de React Native, un outil populaire utilisé par des millions de développeurs pour créer des applications mobiles multiplateformes. Identifiée sous le code CVE-2025-11953 avec un score de gravité de 9,8 sur 10, cette faille permet une exécution de code à distance (RCE) sur les systèmes des développeurs si leur serveur de développement est exposé sur un réseau. Découverte par l’équipe de recherche en sécurité de JFrog, elle affecte les versions antérieures à la 13.0.0 du paquet @react-native-community/cli, qui compte près de deux millions de téléchargements hebdomadaires sur NPM.
Le problème provient d’une entrée utilisateur non sanitizée dans le serveur Metro, intégré à React Native pour le développement en temps réel. Lorsque le serveur est configuré pour s’ouvrir sur toutes les interfaces réseau et ce qui est le cas par défaut dans de nombreux environnements, un attaquant sur le même réseau peut injecter des commandes arbitraires via des requêtes malveillantes. Cela pourrait compromettre non seulement les données du développeur, mais aussi exposer des secrets comme des clés API ou des codes sources sensibles.
L’impact potentiel est particulièrement élevé pour les équipes travaillant en environnements partagés, comme les bureaux ou les réseaux Wi-Fi publics, où un attaquant pourrait exploiter la faille sans authentification. Des rapports indiquent que React Native, maintenu par Meta, est utilisé dans des applications majeures comme Facebook, Instagram ou encore des projets indépendants. Bien que la vulnérabilité nécessite une proximité réseau, elle souligne l’importance de bonnes pratiques de sécurité lors du développement, évitant ainsi des chaînes d’attaques plus larges dans la supply chain logicielle.
Pour remédier à ce risque, Meta a rapidement publié un correctif dans la version 13.0.0 du paquet CLI. Les développeurs sont vivement encouragés à mettre à jour immédiatement via NPM, en exécutant une commande simple comme « npm update @react-native-community/cli ». En attendant, un workaround consiste à limiter l’écoute du serveur à l’interface locale avec l’option « –host 127.0.0.1 » lors du lancement.
Exemple du workaround :
- `npx react-native start --host 127.0.0.1`- `npx @react-native-community/cli start --host 127.0.0.1`
Ça bloque les connexions externes direct. Et n’oubliez pas votre pare-feu pour limiter les ports ouverts, c’est basique, mais ça sauve des vies numériques.
Dans les forums, ça discute ferme, certains accusent Meta (derrière React) de bâcler le coup, vu que c’est une grosse boîte qui pourrait faire mieux. D’autres disent que le vrai souci, c’est d’avoir un serveur dev qui écoute partout par défaut, et que l’API pour ouvrir des URLs sans check suffisant est risquée même en local. Au final, c’est un rappel : en dev, on active pas tout en mode « open bar ». Si vous utilisez React Native, checkez vos versions et appliquez le workaround en attendant l’update.
