简介 

    全球网安事件速递：JavaScript 库 React 高危漏洞（CVE-2025-11953）威胁数百万开发者。Meta旗下React Native高危漏洞(CVE-2025-11953)曝光，CVSS评分9.8，影响200万周下载量的NPM包，可致远程代码执行。Windows系统风险最高，攻击者可运行任意命令。该漏洞暴露了开源组件供应链的严重安全隐患，需立即采取防护措施。

核心详情 

    CVE-2025-11953是React Native框架中的高危漏洞，其技术原理源于代码执行上下文的安全边界突破，允许攻击者通过特制输入在受影响系统中执行任意命令。该漏洞CVSS评分达9.8分（满分10），属于危急级别，主要影响每周下载量达200万的@react-native/windows npm包。安全研究人员发现，攻击者可利用此漏洞在未授权情况下完全控制Windows系统，特别在混合开发环境中风险加剧。漏洞详细信息已由Meta安全团队通过官方安全公告披露，并强调需要立即更新至修复版本。目前已知攻击向量包括恶意代码注入和依赖链污染，企业开发环境面临严重威胁。

适用范围  

    适用于使用React Native框架的移动应用开发者、企业IT安全团队、Node.js后端开发人员，以及任何在Windows平台部署React Native应用的生产环境。特别针对依赖@react-native/windows包进行跨平台开发的项目团队，及采用React技术栈的金融、电商等敏感行业应用。

推荐措施 

    1、立即检查项目依赖，将@react-native/windows包升级至已修复漏洞的最新版本；运行安全扫描工具检测现有代码库。

    2、建议部署Web应用防火墙规则拦截可疑请求，定期审计第三方依赖；参考OWASP移动安全指南加强开发流程管控，建立漏洞应急响应机制。