在网站开发领域广受欢迎的React Native Community CLI（@react-native-community/cli）NPM包，安全公司JFrog本周披露其中存在严重漏洞CVE-2025-11953。该包每周下载量约200万次，影响范围极为广泛，可能波及数百万开发者，建议开发者尽快升级至20.0.0及以上版本以修复漏洞。

该漏洞存在于4.8.0至20.0.0-alpha.2版本中，攻击者一旦成功利用，可在未经身份验证的情况下，在开发服务器上执行任意操作系统命令，CVSS风险评分为9.8（满分10分）。Meta在接到报告后，已于10月初发布20.0.0版本进行修复。

不过，JFrog强调，并非所有使用该NPM包的开发者都会受到此漏洞影响。只有当开发者通过该包启动React Native项目，并使用特定命令启动开发服务器Metro时，才可能面临风险。如果开发者未使用Metro服务，则基本不受影响。

React Native是Meta推出的跨平台应用框架，开发者可使用JavaScript构建跨平台移动应用。该漏洞存在于命令行工具中的一个包内。JFrog指出，此漏洞与一般典型漏洞不同，不仅影响开发者本地计算机，更可能暴露开发服务器至外部网络攻击。

JFrog还分析了CVE-2025-11953在不同操作系统环境下的影响：在Windows系统中，攻击者可利用完全可控的参数执行任意Shell命令；在macOS和Linux系统中，攻击者目前仅能执行任意文件或打开URI链接，但不排除未来可执行完整命令的可能。