React Native Metro服务器误差遭黑客使用

首页 > 清静研究 > 清静转达 > 清静简讯

React Native Metro服务器误差遭黑客使用

宣布时间 2026-02-05

1. React Native Metro服务器误差遭黑客使用

2月3日，黑客正使用React Native默认打包工具Metro服务器中的严重误差CVE-2025-11953提倡攻击，在Windows和Linux系统执行恶意代码。该误差由软件供应链清静公司JFrog于2025年11月发明并果真，影响@react-native-community/cli-server-api版本4.8.0至20.0.0-alpha.2，20.0.0及以上版本已修复。攻击者通过向袒露的/open-url HTTP端点发送包括恶意URL的POST请求实验攻击。在Windows系统中，未经身份验证的攻击者可直接执行恣意操作系统下令；Linux和macOS系统则可能运行受限参数的恣意可执行文件。误差使用的焦点在于端点未对用户提供的URL值举行整理，直接转达给'open()'函数，导致下令注入危害。2025年12月21日起，误差情报公司VulnCheck监测到名为"Metro4Shell"的攻击行动，攻击者于1月4日和21日一连使用相同载荷攻击。攻击载荷为base-64编码的PowerShell剧本，解码后执行以下操作：禁用Microsoft Defender对事情目录和暂时目录的防护，建设与攻击者控制服务器的TCP毗连，下载并执行二进制文件。

https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-react-native-metro-bug-to-breach-dev-systems/

2. CISA忠言勒索软件团伙使用VMware ESXi误差

2月4日，美国网络清静和基础设施清静局（CISA）克日证实，勒索软件团伙已最先使用VMware ESXi沙箱逃逸高危误差（CVE-2025-22225）提倡攻击，该误差此前曾被用于零日攻击。博通公司于2025年3月修复了这一恣意写入误差，同时修复了内存走漏误差（CVE-2025-22226）和TOCTOU误差（CVE-2025-22224），并标记为正在被起劲使用的零日误差。据博通公司披露，在VMX历程中拥有特权的恶意行为者可触发恣意内核写入，导致沙箱逃逸。这些误差影响VMware ESXi、Fusion、Cloud Foundation、vSphere、Workstation及Telco Cloud Platform等产品，攻击者可串联误差逃离虚拟机沙箱。网络清静公司Huntress的报告指出，讲中文的威胁行为者可能自2024年2月起就使用这些误差提倡重大零日攻击。CISA已将CVE-2025-22225加入已知使用误差（KEV）目录，并要求联邦机构在2025年3月25日前�；は低�。

https://www.bleepingcomputer.com/news/security/cisa-vmware-esxi-flaw-now-exploited-in-ransomware-attacks/

3. 亚洲顶级域名及政府教育网站遭NGINX设置注入攻击

2月4日，DataDog清静实验室克日披露，攻击者正针对亚洲顶级域名（如.in、.id、.pe、.bd、.th）及政府教育网站（.edu、.gov）使用的NGINX服务器，以及Baota主机治理面板安排的NGINX装置，提倡隐藏的流量挟制攻击。该攻击通过注入恶意"location"块修改NGINX设置文件，捕获特定URL路径的传入请求，重写URL后经"proxy_pass"指令将流量转发至攻击者控制的域名，最终路由至后端基础设施。攻击者使用NGINX的负载平衡特征，"proxy_pass"指令常用于路由请求至备用服务器以提升性能或可靠性，因此该滥用行为不会触发清静警报。为伪装正当流量，攻击保存了请求头（如Host、X-Real-IP、User-Agent、Referer）。该攻击极具隐藏性：不依赖NGINX误差，恶意指令直接嵌入设置文件，且用户流量仍可达预期目的地，仅通过专门监控方能察觉攻击者基础设施痕迹。

https://www.bleepingcomputer.com/news/security/hackers-compromise-nginx-servers-to-redirect-user-traffic/

4. CISA紧迫鞭策修补五年期GitLab高危误差

2月4日，美国网络清静和基础设施清静局（CISA）克日宣布强制性指令，要求联邦民事行政部分（FCEB）机构在2026年2月24日前修补保存五年的GitLab服务器端请求伪造（SSRF）误差（CVE-2021-39935），该误差正被起劲使用举行网络攻击。GitLab于2021年12月修复此误差时披露，其影响14.3.6之前的10.5版本、14.4.4之前的14.4版本及14.5.2之前的14.5版本，允许未经授权的外部用户通过CI Lint API执行服务器端请求，尤其在用户注册受限时，非开发职员仍可会见该API，组成严重清静危害。CISA已将该误差纳入"已知使用误差（KEV）"目录，并援引约束性操作指令（BOD）22-01要求联邦机构接纳行动。只管BOD 22-01仅针春联邦机构，CISA强烈建议私营部分组织优先防护装备，阻止遭受一连攻击�；剐枳裾展┯ι绦薷粗改稀⒃品馚OD 22-01规范，或无法修复时停用相关产品。

https://www.bleepingcomputer.com/news/security/cisa-warns-of-five-year-old-gitlab-flaw-exploited-in-attacks/

5. 网络垂纶运动瞄准企业Dropbox账号凭证

2月3日，Forcepoint X-Labs展现一场使用隐藏手艺规避清静检测的多阶段网络垂纶攻击正在一连举行，其焦点目的是窃取着名云存储服务（如Dropbox）的企业账号凭证。该攻击以伪造紧迫公务或商务采购相关垂纶邮件为起点，邮件内容简短但高度仿真目的用户熟悉机构或联系人的样式，通过"紧迫诉求"诱导收件人翻开PDF附件。这种精练设计使其乐成绕过SPF、DKIM、DMARC等邮件身份认证机制。当用户翻开PDF时，会被指导点击内嵌的恶意链接，该链接基于Acro表单编写，大幅降低清静软件扫描检测能力。链接最终将用户导向伪装成"可信云存储"平台的页面，并跳转至极具疑惑性的伪造Dropbox登录界面。Forcepoint高级清静研究员Hassan Faizan指出，攻击者通过正当云基础设施降低用户小心性，绕过基于信誉评级和已知恶意指标的自动化清静检测。一旦用户输入登录凭证，其用户名和密码将被发送至攻击者控制的Telegram频道。

https://www.infosecurity-magazine.com/news/password-stealing-phishing-pdf/

6. 超4万WordPress网站受Quiz插件SQL注入误差威胁

2月4日，网络清静机构披露，超40,000个使用Quiz and Survey Master（QSM）插件的WordPress网站正面临CVE-2025-67987 SQL注入误差危害。该误差保存于10.3.1及更早版本中，允许具有订阅者级别或更高权限的已认证用户通过未履历证的REST API参数实验数据库注入攻击，无需治理员权限即可滋扰盘问逻辑。QSM作为普遍用于建设考试、视察的插件，其误差源于认真检索考试题数据的REST API函数。攻击者可使用名为"is_linking"的请求参数，通过结构包括恶意SQL下令的输入值，在未使用预处置惩罚语句的情形下直接拼接至盘问语句中。数据库会将注入内容视为盘问指令执行，从而可能实现数据泄露、改动或提权等恶意操作。修复版本10.3.2于12月4日宣布，通过强制使用intval函数将"is_linking"参数转换为整数，确保盘问仅处置惩罚数值型数据，彻底阻断注入路径。

https://www.infosecurity-magazine.com/news/wordpress-sql-injection-flaw-40000/

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究