O risco de deixar servidores de desenvolvimento expostos nunca foi tão real. Desenvolvedores de React Native enfrentam uma ameaça crescente com a descoberta da vulnerabilidade CVE-2025-11953, apelidada de Metro4Shell, que permite a execução remota de código em sistemas Windows, Linux e macOS. Essa falha critica expõe endpoints essenciais do Metro, ferramenta central para o desenvolvimento mobile, colocando projetos inteiros em perigo.
A vulnerabilidade Metro4Shell não se limita a ambientes de teste internos. Com milhares de servidores de desenvolvimento acessíveis diretamente na internet, qualquer atacante com conhecimento técnico mínimo pode explorar essa falha. A combinação de RCE, payloads de PowerShell no Windows e execução de arquivos arbitrários em Linux torna a ameaça multiplataforma especialmente perigosa.
Para desenvolvedores React Native, o alerta é claro: atualizar as ferramentas imediatamente não é opcional. Servidores expostos podem ser comprometidos, levando a vazamento de código-fonte, instalação de malwares ou acesso não autorizado à infraestrutura corporativa.
Entendendo a vulnerabilidade Metro4Shell
O ponto central da CVE-2025-11953 está no endpoint /open-url do Metro. A função open(), responsável por lidar com requisições HTTP, não faz a validação adequada dos dados recebidos. Isso permite que um ataque cuidadosamente elaborado, via requisição POST, execute código remoto no servidor de desenvolvimento.
Ao explorar essa falha, um invasor pode executar scripts arbitrários ou instalar binários maliciosos sem qualquer autenticação. A simplicidade do ataque aumenta seu risco: basta que o servidor Metro esteja acessível publicamente para que seja possível explorar a vulnerabilidade.
Impacto no Windows vs. Linux
No Windows, o ataque Metro4Shell utiliza payloads PowerShell para ganhar persistência e desativar ferramentas de proteção, como o Microsoft Defender. Além disso, binários compilados em Rust podem ser executados para tarefas mais complexas, como roubo de credenciais ou movimentação lateral em redes corporativas.
Em Linux e macOS, o invasor consegue executar arquivos arbitrários, manipulando parâmetros e scripts do sistema. Isso permite controle profundo do servidor, podendo afetar desde builds automatizados até bancos de dados locais e APIs internas.
Ameaça real: milhares de servidores expostos
Segundo dados da ZoomEye, mais de 3.500 servidores Metro estão atualmente expostos na internet. Apesar de a vulnerabilidade ter uma pontuação baixa no EPSS, isso gera uma falsa sensação de segurança. Ataques ativos já foram registrados, mostrando que hackers estão explorando a CVE-2025-11953 em tempo real.
A combinação de servidores acessíveis publicamente e falha de validação no Metro cria um cenário crítico para projetos de React Native, tornando urgente a aplicação de medidas de mitigação.
Como se proteger e mitigar o risco
As versões afetadas da ferramenta incluem @react-native-community/cli-server-api de 4.8.0 a 20.0.0-alpha.2. A solução imediata é atualizar para 20.0.0 ou superior, que corrige a validação no endpoint /open-url e fecha o vetor de ataque.
Além da atualização, é essencial adotar boas práticas de segurança:
- Nunca expor portas de desenvolvimento do Metro diretamente na internet. Use VPN ou firewall para limitar o acesso.
- Monitore logs de acesso para detectar requisições suspeitas.
- Avalie o ambiente de CI/CD e garanta que servidores internos não estejam acessíveis externamente.
Essas medidas reduzem drasticamente o risco de exploração e fortalecem a segurança da cadeia de desenvolvimento.
Conclusão
A vulnerabilidade Metro4Shell no React Native representa uma ameaça real à cadeia de suprimentos de software. Servidores de desenvolvimento expostos podem ser comprometidos, permitindo invasões silenciosas e prejudicando tanto projetos internos quanto aplicativos em produção.
Desenvolvedores, analistas de segurança e administradores de sistemas devem agir rapidamente: verifiquem a versão do Metro em uso, atualizem para a versão corrigida e compartilhem este alerta com suas equipes. A prevenção hoje é a melhor defesa contra ataques que podem comprometer toda a infraestrutura de desenvolvimento.
