React Nativeの開発環境で使用されるMetroサーバに、深刻な脆弱性 CVE-2025-11953 が確認されました。開発中に自動起動されるMetroサーバが、外部ネットワークからアクセス可能な状態で稼働している場合、攻撃者に乗っ取られるリスクがあります。
この脆弱性を悪用されると、認証なしで任意のOSコマンドを実行される恐れがあり、社内ネットワークへの侵入やマルウェア感染にもつながる重大なリスクとなります。
本記事では、CVE-2025-11953の仕組みや攻撃手口、影響範囲、確認すべきポイント、そして適切な初動対応について解説します。Metroサーバを利用している開発チームやCI環境の担当者は、ぜひご確認ください。
目次
CVE-2025-11953とは
CVE-2025-11953は、React Native Community CLI によって起動されるMetro Development Serverに存在する脆弱性です。問題の原因は、Metroサーバがデフォルトで外部ネットワークインターフェース(0.0.0.0)にバインドされる設定で起動することにあります。
NVD(National Vulnerability Database)によると、Metroサーバは外部からアクセス可能なHTTPエンドポイントを公開しており、その一部がOSコマンドインジェクションの脆弱性を含んでいます。
その結果、認証されていない外部の攻撃者が、細工されたPOSTリクエストを送信するだけで、サーバ上で任意の実行ファイルやOSコマンドを実行できてしまう状態になります。
特にWindows環境では、攻撃者がコマンドの引数まで完全に制御した状態でPowerShellなどを実行可能であり、macOSやLinuxでも任意のバイナリが起動される可能性があります。
CVSS評価と深刻度
本脆弱性のNVDによるCVSSスコアは未評価ですが、報告元であるJFrog(CNA)は、CVSS v3.1基準で9.8(Critical)と評価しています。
- AV:N(ネットワーク経由で攻撃可能)
- AC:L(攻撃は容易)
- PR:N(認証不要)
- UI:N(ユーザー操作不要)
- C:H / I:H / A:H(機密性・完全性・可用性すべてに深刻な影響)
この評価からも、CVE-2025-11953は開発環境に潜む、極めて重大なセキュリティリスクであることが分かります。
影響を受ける環境
本脆弱性の影響を受けるのは、@react-native-community/cli-server-api の脆弱なバージョン(例:4.8.0〜20.0.0-alpha.2)を使用し、Metroサーバを起動しているReact Nativeプロジェクトです。
特に以下のような環境では、リスクが顕在化しやすくなります。
- MetroサーバがLANやVPN越しに外部公開されている開発端末
- CI/CD環境でMetroが自動起動している構成
- クラウド上の開発用VMやリモート開発環境
これらの環境では、攻撃者による侵入が端末の乗っ取りや、社内ネットワーク・サプライチェーン全体への被害拡大につながる恐れがあります。
出典:NVD
CVE-2025-11953の技術的な背景と脆弱性の性質
CVE-2025-11953は、React Nativeの開発ツール「@react-native-community/cli」に含まれるMetro Development Serverに起因する脆弱性です。問題の背景には、Metroサーバがデフォルトで外部インターフェース(0.0.0.0)にバインドされ、ネットワーク越しにアクセス可能な状態で起動する仕様があります。
加えて、/open-url というエンドポイントが、POSTリクエストで受け取った入力値を無加工で open() 関数(open NPMパッケージ)に渡してしまう実装になっており、認証不要かつネットワーク越しに任意のOSコマンドを実行できるという、非常に危険な挙動を引き起こします。
この脆弱性は2025年11月、セキュリティ企業JFrogによって報告され、Metaが保守する npm パッケージ「@react-native-community/cli-server-api」のバージョン 4.8.0 ~ 20.0.0-alpha.2 に影響が確認されました。問題は バージョン 20.0.0 で修正済みです。
React Native CLIは、週に150万~200万回ダウンロードされる人気パッケージであり、本脆弱性により世界中の開発端末がリスクに晒されていた点は極めて深刻です。
Metroサーバが外部にバインドされる設計
Metro Development Serverは、React Nativeアプリのビルド中に自動で起動されますが、初期設定では 0.0.0.0 にバインドされ、LANやVPN経由で外部からアクセス可能になります。この状態では、意図せずインターネットに公開されている場合もあり、大きなリスクとなります。
/open-url経由でopen()が呼び出される
/open-url エンドポイントは、受け取ったURLパラメータをそのまま open() に渡す仕様であり、ここで入力値がサニタイズされていないことが問題です。結果として、任意のコマンドがそのままOS上で実行される脆弱な設計となっています。
OS依存でコマンド実行手段が異なる
Windows環境では、powershell.exeが呼び出され、引数を完全に制御された状態でシェルコマンドを実行される恐れがあります。攻撃者はこれを利用してマルウェアのダウンロードやリバースシェル確立など、多段階の攻撃を展開できます。
LinuxやmacOSでは、引数の制御に制限があるものの、任意の実行バイナリの起動が可能であり、設定や環境によっては同様に深刻な影響が及ぶ可能性があります。
CVE-2025-11953による被害とリスク
CVE-2025-11953は、長期間にわたりゼロデイ状態で放置されていた可能性があり、Metroサーバが開発端末で常時起動される性質から、無差別スキャンや標的型攻撃の入り口として悪用されるリスクが高いと指摘されています。
JFrogはこの脆弱性について、「認証不要で簡単に悪用可能であり、対象範囲が広い」と評価し、サプライチェーン全体に影響を及ぼす重大な事案として警鐘を鳴らしています。
なお、Metroサーバを使用していない構成であれば直接的な影響はありませんが、多くのReact Native開発環境では、CLIがMetroを自動的に起動するため、実際の影響範囲は想定以上に広いと見られています。
開発端末の乗っ取り
攻撃者がMetroサーバを通じて任意のコードを実行し、マルウェアの設置やリバースシェル接続によって端末の制御を奪う危険があります。
ソースコード・APIキーの漏えい
開発プロジェクトに含まれる認証情報やAPIキーが流出し、他システムへの不正アクセスに悪用される可能性があります。
CI/CDパイプラインの侵害
Metroが動作するCI環境が侵害されると、ビルドプロセスにマルウェアが混入し、生成物が汚染される恐れがあります。
社内ネットワークへの横展開
VPNや社内ネットワークを通じてアクセスされた場合、他の開発端末やファイルサーバなどに攻撃が広がるリスクがあります。
サプライチェーンへの波及
改ざんされたバイナリやコードが外部に出荷されることで、最終ユーザーや取引先にまで被害が拡大する可能性があります。
CVE-2025-11953の確認方法と初動対処
すぐにパッチを適用できない場合でも、被害拡大を防ぐためには、Metroサーバの公開設定、ログ保全、診断対応など複数の視点からの対処が重要です。以下に具体的なチェック項目と対応策を整理します。
Metroサーバの公開範囲を限定
Metroはデフォルトで 0.0.0.0 にバインドされるため、外部からアクセス可能になります。127.0.0.1(ローカルホスト)に制限し、ネットワークからのアクセスを遮断してください。
--host 127.0.0.1を指定してMetroを起動- ファイアウォールで8081ポートを制限
- VPNやローカルLANの不要なルーティングを遮断
インストール済みパッケージのバージョン確認
脆弱なCLIバージョンが残っていると、Metroが無防備に起動される恐れがあります。使用中のバージョンを確認し、20.0.0 以上へアップデートしてください。
npm ls @react-native-community/cli-server-apiで確認npm updateまたはyarn upgradeを実行- lockファイルも更新し、正しく反映されているか確認
証拠保全とログの取得
不正アクセスが疑われる場合は、Metroのログやシェルの実行履歴を保存してください。後の調査・被害範囲特定に役立ちます。
- Metro起動ログ(標準出力・stderr)を保存
- PowerShellやbashの履歴を取得
- 保全データにはハッシュを付与し改ざん防止
EDR等による異常なプロセス監視
MetroからPowerShellやシェルが起動された場合、それを検知できるようEDRやセキュリティ製品での監視ルールを設定してください。
- 親プロセスが
node.exeの場合、シェル起動を監視 -Command,-EncodedCommandを含むプロセスを警告- 発見時のアラート/自動隔離の設定を有効化
ゼロトラストによる公開範囲の見直し
Metroのような開発用サーバであっても、「信頼できるから許可する」のではなく、明示的に許可された端末だけがアクセス可能な構成を導入してください。
- Metro起動対象を明示的に制限(ロール・IPベース)
- 開発環境でも最小権限アクセスを設計
- 不要なサービス・インターフェースを無効化
外部露出の有無を脆弱性診断で確認
Metroが意図せず外部に公開されていないか、脆弱性診断を通じて確認してください。特にCI環境やクラウドVMでは自動で起動されているケースもあります。
- 開発端末・CI環境を対象にネットワークスキャンを実施
- Metroやその他のポートが外部公開されていないか確認
- 検出された場合は公開意図のあるものかを再確認
フォレンジック調査による脆弱性診断
CVE-2025-11953が悪用されると、開発端末に対してSYSTEM権限での操作や証拠の削除が行われるリスクがあります。Metroサーバはユーザーの操作なしでも起動していることが多く、攻撃の発見が遅れやすい点も問題です。
さらに、ログ保存の設定やセキュリティツールのカバー範囲によっては、攻撃の痕跡が不完全な状態で残る場合もあります。通常の確認だけでは、被害の全体像を把握することが難しいケースも少なくありません。
このような場合には、フォレンジック調査による専門的な分析が有効です。端末やネットワーク、ログなどに残されたデータをもとに、「いつ・どこから・どのような操作が行われたか」を詳細に調査します。
不正アクセスの経路、実行されたコマンド、外部との通信、内部関係者の関与可能性などを客観的に分析し、再発防止や法的対応につながる報告書としてまとめることも可能です。
デジタルデータフォレンジックでは、インシデント対応の専門家が初動対応から徹底サポートします。専用の解析設備を使い、ネットワークや端末を詳細に調査・解析し、調査報告書の提出や報告会までワンストップで対応します。
官公庁・上場企業・捜査機関など幅広い組織への対応実績があり、専門の担当者とエンジニアが迅速かつ正確に調査を実施します。
ご相談・初期診断・お見積りはすべて無料です。お電話またはメールでお気軽にお問い合わせください。法人様の場合、ご相談から最短30分でWeb打合せも開催しておりますので、状況をヒアリングし、最適な対応方法をご案内いたします。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
