Des cybercriminels exploitent une faille de sécurité surnommée Metro4Shell et qui affecte directement l’écosystème React Native. Elle se situe dans le composant Metro Development Server utilisé par le paquet NPM populaire @react-native-community/cli. Quels sont les risques ? Voici ce que l’on sait.

VulnCheck a publié un nouveau rapport pour évoquer l’exploitation de la CVE-2025-11953 depuis le 21 décembre 2025, avec notamment la découverte d’un 6ème exploit PoC le 3 février 2026. Associée à un score CVSS de 9.8 sur 10, cette vulnérabilité réside au sein de Metro Development Server, un composant clé du paquet npm @react-native-community/cli. L’occasion de préciser que ce paquet est populaire, avec plus de 2 millions de téléchargements par semaine.

Cette vulnérabilité permet à des attaquants distants et non authentifiés d’exécuter des commandes arbitraires sur le système d’exploitation sous-jacent, en ciblant le composant vulnérable. Une simple requête POST suffit à exploiter cette faiblesse sur les machines Windows.