CLI

Die Schwachstelle betrifft das Kommandozeilen-Werkzeug (CLI) der React Native Community, das zur Entwicklung von React-Native-Apps dient. Beim Start öffnet dieses Werkzeug den Metro-Entwicklungsserver, der sich standardmäßig an externe Netzwerkschnittstellen bindet – er ist also nicht auf den lokalen Rechner beschränkt, sondern aus dem Netzwerk erreichbar. Einer der vom Server bereitgestellten Endpunkte verarbeitet eingehende Daten so unsicher, dass sich darüber Betriebssystembefehle einschleusen lassen. Ein Angreifer im selben Netzwerk kann ohne jede Anmeldung eine einfache POST-Anfrage an diesen Endpunkt senden und dadurch beliebige Programme auf dem Entwicklerrechner ausführen. Unter Windows reicht der Angriff noch weiter: Dort lassen sich beliebige Shell-Befehle mit vollständig kontrollierten Argumenten absetzen. Betroffen sind die Arbeitsplätze von Entwicklern, die das Werkzeug einsetzen – gerade in offenen oder geteilten Netzwerken ist der exponierte Server ein unmittelbar nutzbarer Angriffspunkt.