🔍 این آسیب‌پذیری بحرانی (CVSS 9.8) در پکیج react-native-community/cli و در سیستم‌عامل ویندوز اجازه می‌دهد مهاجمان از راه دور و بدون احراز هویت، اجرای دستورات دلخواه روی ماشینی که سرور توسعه (Metro) را اجرا می‌کند، انجام دهند. ⚠️ این بسته حدود ۲ میلیون دانلود هفتگی دارد و آسیب‌پذیری می‌تواند منجر به سرقت کد، نشتی داده‌ها یا تسلط کامل بر محیط توسعه شود، مخصوصاً اگر سرور توسعه به شبکه خارجی در دسترس باشد. ✳️ توصیه‌ها: - فوراً نسخه‌های آسیب‌پذیر را به‌روزرسانی یا پچ کنید - اگر امکان به‌روز‌رسانی فوری نیست، اجراکنندهٔ Metro را از شبکه خارجی ایزوله کنید و فایروال و قوانین شبکه را اعمال کنید. - به طور مستمر پیشنیاز‌ها، کتاب‌خانه‌ها و وابستگی‌های کد را بررسی کرده و هشدار‌دهی در CI/CD را فعال کنید. - دسترسی‌های توسعه را محدود نگه دارید.