| Titre | Exploitation active d’une vulnérabilité critique dans React Native (CVE-2025-11953 – Metro4Shell) |
| Numéro de Référence | Numéro de Référence 60640402/26 |
| Date de publication | Date de publication 04 février 2026 |
| Niveau de Risque | Niveau de Risque Critique |
| Niveau d'Impact | Niveau d'Impact Critique |
@react-native-community/cli versions antérieure à 20.0.0;
CVE-2025-11953;
Une exploitation active de la vulnérabilité CVE-2025-11953, baptisée « Metro4Shell », a été observée. Cette faille affecte le serveur de développement Metro, intégré au package @react-native-community/cli, largement utilisé pour le développement des applications React Native, et a fait l’objet du bulletin de sécurité maCERT/DGSSI n° 58080511/25.
Des acteurs malveillants ont exploité cette vulnérabilité en envoyant des requêtes POST spécialement conçues vers des endpoints exposés sur Internet, leur permettant d’exécuter des commandes arbitraires à distance sur les systèmes vulnérables.
Mettre à jour immédiatement le package @react-native-community/cli vers la version 20.0.0 ou ultérieure;
Restreindre l’accès réseau aux serveurs de développement Metro :
Surveiller les journaux et détecter toute activité anormale sur les composants et services de développement;
Exécution de commande système arbitraire à distance ;
Bulletin de sécurité maCERT/DGSSI du 05 Novembre 2025:
Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma
DGSSI2026 All rights reserved
