React Native Metro服务器缝隙遭黑客利用

首页 > 安全钻研 > 安全传递 > 安全简讯

React Native Metro服务器缝隙遭黑客利用

颁布功夫 2026-02-05

1. React Native Metro服务器缝隙遭黑客利用

2月3日，黑客正利用React Native默认打包工具Metro服务器中的严沉缝隙CVE-2025-11953提议攻击，在Windows和Linux系统执行恶意代码。该缝隙由软件供给链安全公司JFrog于2025年11月发现并公开，影响@react-native-community/cli-server-api版本4.8.0至20.0.0-alpha.2，20.0.0及以上版本已建复。攻击者通过向露出的/open-url HTTP端点发送蕴含恶意URL的POST要求执行攻击。在Windows系统中，未经身份验证的攻击者可直接执行肆意操作系统号令；Linux和macOS系统则可能运行受限参数的肆意可执行文件。缝隙利用的主题在于端点未对用户提供的URL值进行算帐，直接传递给'open()'函数，导致号令注入风险。2025年12月21日起，缝隙谍报公司VulnCheck监测到名为"Metro4Shell"的攻击行动，攻击者于1月4日和21日持续使用一样载荷攻击。攻击载荷为base-64编码的PowerShell剧本，解码后执行以下操作：禁用Microsoft Defender对工作目录和一时目录的防护，成立与攻击者节造服务器的TCP衔接，下载并执行二进造文件。

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-react-native-metro-bug-to-breach-dev-systems/

2. CISA忠告勒索软件团伙利用VMware ESXi缝隙

2月4日，美国网络安全和基础设施安全局（CISA）近日证实，勒索软件团伙已起头利用VMware ESXi沙箱逃逸高危缝隙（CVE-2025-22225）提议攻击，该缝隙此前曾被用于零日攻击。博通公司于2025年3月建复了这一肆意写入缝隙，同时建复了内存泄漏缝隙（CVE-2025-22226）和TOCTOU缝隙（CVE-2025-22224），并象征为在被积极利用的零日缝隙。据博通公司披露，在VMX过程中占有特权的恶意行为者可触发肆意内核写入，导致沙箱逃逸。这些缝隙影响VMware ESXi、Fusion、Cloud Foundation、vSphere、Workstation及Telco Cloud Platform等产品，攻击者可串联缝隙逃离虚构机沙箱。网络安全公司Huntress的汇报指出，讲中文的威胁行为者可能自2024年2月起就利用这些缝隙提议复杂零日攻击。CISA已将CVE-2025-22225参与已知利用缝隙（KEV）目录，并要求联国机构在2025年3月25日前�；は低�。

https://www.bleepingcomputer.com/news/security/cisa-vmware-esxi-flaw-now-exploited-in-ransomware-attacks/

3. 亚洲顶级域名及当局教育网站遭NGINX配置注入攻击

2月4日，DataDog安全尝试室近日披露，攻击者正针对亚洲顶级域名（如.in、.id、.pe、.bd、.th）及当局教育网站（.edu、.gov）使用的NGINX服务器，以及Baota主机治理面板部署的NGINX装置，提议荫蔽的流量劫持攻击。该攻击通过注入恶意"location"块批改NGINX配置文件，捕获特定URL蹊径的传入要求，沉写URL后经"proxy_pass"指令将流量转发至攻击者节造的域名，最终路由至后端基础设施。攻击者利用NGINX的负载平衡个性，"proxy_pass"指令常用于路由要求至备用服务器以提升机能或靠得住性，因而该滥用行为不会触发安全警报。为假装合法流量，攻击保留了要求头（如Host、X-Real-IP、User-Agent、Referer）。该攻击极具荫蔽性：不依赖NGINX缝隙，恶意指令直接嵌入配置文件，且用户流量仍可达预期主张地，仅通过专门监控方能觉察攻击者基础设施痕迹。

https://www.bleepingcomputer.com/news/security/hackers-compromise-nginx-servers-to-redirect-user-traffic/

4. CISA垂危督促建补五年期GitLab高危缝隙

2月4日，美国网络安全和基础设施安全局（CISA）近日颁布强造性指令，要求联国民事行政部门（FCEB）机构在2026年2月24日前建补存在五年的GitLab服务器端要求伪造（SSRF）缝隙（CVE-2021-39935），该缝隙正被积极利用进行网络攻击。GitLab于2021年12月建复此缝隙时披露，其影响14.3.6之前的10.5版本、14.4.4之前的14.4版本及14.5.2之前的14.5版本，允许未经授权的表部用户通过CI Lint API执行服务器端要求，尤其在用户注册受限时，非开发人员仍可接见该API，组成严沉安全风险。CISA已将该缝隙纳入"已知利用缝隙（KEV）"目录，并援引约束性操作指令（BOD）22-01要求联国机构采取行动。只管BOD 22-01仅针春联国机构，CISA强烈建议私营部门组织优先防护设备，预防遭逢持续攻击�；剐枳裱└探ǜ粗改稀⒃品馚OD 22-01规范，或无法建复时停用有关产品。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-five-year-old-gitlab-flaw-exploited-in-attacks/

5. 网络垂钓活动对准企业Dropbox账号凭证

2月3日，Forcepoint X-Labs揭示一场利用荫蔽技术躲避安全检测的多阶段网络垂钓攻击在持续进行，其主题指标是窃取驰名云存储服务（如Dropbox）的企业账号凭证。该攻击以伪造垂危公务或商务采购有关垂钓邮件为起点，邮件内容简短但高度仿真指标用户熟悉机构或联系人的形状，通过"垂危诉求"诱导收件人打开PDF附件。这种简洁设计使其成功绕过SPF、DKIM、DMARC蹬资件身份认证机造。当用户打开PDF时，会被疏导点击内嵌的恶意链接，该链接基于Acro表单编写，大幅降低安全软件扫描检测能力。链接最终将用户导向假装成"可信云存储"平台的页面，并跳转至极具蛊惑性的伪造Dropbox登录界面。Forcepoint高级安全钻研员Hassan Faizan指出，攻击者通过合法云基础设施降低用户警惕性，绕过基于诺言评级和已知恶意指标的自动化安全检测。一旦用户输入登录凭证，其用户名和密码将被发送至攻击者节造的Telegram频路。

https://www.infosecurity-magazine.com/news/password-stealing-phishing-pdf/

6. 超4万WordPress网站受Quiz插件SQL注入缝隙威胁

2月4日，网络安全机构披露，超40,000个使用Quiz and Survey Master（QSM）插件的WordPress网站正面对CVE-2025-67987 SQL注入缝隙风险。该缝隙存在于10.3.1及更早版本中，允许拥有订阅者级别或更高权限的已认证用户通过未经验证的REST API参数执行数据库注入攻击，无需治理员权限即可滋扰查问逻辑。QSM作为宽泛用于创建考试、调查的插件，其缝隙源于掌管检索考试题数据的REST API函数。攻击者可利用名为"is_linking"的要求参数，通过机关蕴含恶意SQL号令的输入值，在未使用预处置语句的情况下直接拼接至查问语句中。数据库会将注入内容视为查问指令执行，从而可能实现数据泄露、篡改或提权等恶意操作。建复版本10.3.2于12月4日颁布，通过强造使用intval函数将"is_linking"参数转换为整数，确保查问仅处置数值型数据，彻底阻断注入蹊径。

https://www.infosecurity-magazine.com/news/wordpress-sql-injection-flaw-40000/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研