Die kritische Schwachstelle CVE-2025-11953, in der Community unter dem Namen Metro4Shell bekannt, wird aktuell aktiv ausgenutzt, um Systeme von React-Native-Entwicklern zu kompromittieren. Angreifer missbrauchen dabei den Metro-Server – den standardmaessigen JavaScript-Bundler von React Native – um schadhaften Code fuer Windows und Linux direkt in Entwicklungsumgebungen auszurollen. Damit rueckt ein bisher oft unterschaetztes Ziel in den Fokus: die Sicherheit von Developer-Tools und -Infrastruktur.
Was ist der Metro-Server – und warum wird er angegriffen?
Der Metro-Server ist ein Build- und Bundling-Werkzeug, das React Native standardmaessig nutzt, um JavaScript-Code waehrend der Entwicklung bereitzustellen. Er startet lokal einen HTTP-Server, der nicht nur an localhost, sondern auch an externe Netzwerkinterfaces gebunden sein kann. Ueber verschiedene HTTP-Endpunkte stellt Metro interne Funktionen bereit, die urspruenglich fuer den ausschliesslich lokalen Gebrauch durch den Entwickler konzipiert wurden.
Wird dieser Server jedoch – etwa durch Fehlkonfiguration von IDE, VPN, Proxy oder Cloud-Umgebung – ungeschuetzt ins Netz exponiert, verwandelt sich eine reine Dev-Umgebung faktisch in produktive Angriffsoberflaeche. Fuer einen Angreifer ist ein oeffentlich erreichbarer Metro-Server damit nahezu so wertvoll wie ein verwundbares Web-Frontend im Produktivbetrieb, da er direkten Codeeinfluss auf Entwicklerrechner und damit auf die Build- und Lieferkette ermoeglicht.
Technische Analyse von CVE-2025-11953 (Metro4Shell)
Die Schwachstelle wurde laut Untersuchungen von JFrog im November 2025 identifiziert. Kern des Problems ist der Endpunkt /open-url des Metro-Servers. Dieser akzeptiert HTTP-POST-Anfragen mit beliebigen URLs und uebergibt sie ohne jegliche Validierung oder Bereinigung an die Funktion open(). Dadurch erhaelt ein nicht authentifizierter, entfernter Angreifer die Moeglichkeit, das Verhalten des Systems zu beeinflussen und im Ergebnis Remote Code Execution (RCE) zu erreichen.
Die Ausnutzung ist aus Angreifersicht besonders attraktiv, weil sie keine vorherige Authentifizierung und nur geringen technischen Aufwand erfordert. Bereits ein manipulierter POST-Request auf den exponierten Metro-Endpunkt kann genuegen, um die Ausfuehrung von Befehlen oder Binaerdateien im Kontext der Entwicklungsumgebung anzustossen.
Angriffe auf Windows: Base64-PowerShell und UPX-gepackter Rust-Malware
Nach Angaben von VulnCheck wurden erste verifizierte Exploitationen von Metro4Shell am 21. Dezember 2025 beobachtet, gefolgt von weiteren Wellen am 4. und 21. Januar. In allen Faellen sendeten Angreifer HTTP-POST-Requests an /open-url, deren Anfragekoerper Base64-kodierte PowerShell-Skripte enthielten.
Nach der Dekodierung luden diese Skripte ein Windows-Payload nach, konkret einen UPX-gepackten Rust-Binaer mit einfacher Anti-Analyse-Logik. Dazu zaehlen Obfuskation, grundlegende Umgebungspruefungen und Massnahmen, die statische und dynamische Analyse erschweren sollen. Auf derselben Angreiferinfrastruktur wurde zudem ein aequivalenter Linux-Binaer bereitgestellt, was auf eine bewusst plattformuebergreifende Angriffskampagne hindeutet.
Linux und macOS: Einschraenkungen, aber trotzdem gefaehrliche Codeausfuehrung
Unter Linux und macOS erlaubt Metro4Shell nicht in jedem Fall die freie Ausfuehrung beliebiger Befehlszeilen mit umfassenden Parametern. Dennoch koennen ueber die Schwachstelle ausfuehrbare Dateien gestartet werden. In der Praxis reicht dies aus, um Downloader, Kryptominer, Remote-Access-Tools (RATs) oder erste Stufen von Malware zu platzieren und von dort aus laterale Bewegungen im Netzwerk vorzunehmen.
Betroffene Versionen und Verbreitung exponierter Metro-Server
Die Schwachstelle betrifft das Paket @react-native-community/cli-server-api in den Versionen 4.8.0 bis einschliesslich 20.0.0-alpha.2. Mit Version 20.0.0 wurde ein Fix veroeffentlicht, der die Logik des Endpunkts /open-url grundlegend ueberarbeitet und die Verarbeitung von Benutzer-URLs deutlich restriktiver gestaltet.
Brisant ist, dass laut Scans des Banner-Suchdienstes ZoomEye rund 3.500 oeffentlich erreichbare Metro-Server von React-Native-Projekten im Internet sichtbar sind. Hinter diesen Instanzen koennen sowohl einzelne Freelancer als auch grosse Unternehmen mit mobilen Produkten stehen. Damit erweitert Metro4Shell den potenziellen Angriffsperimeter deutlich ueber klassische Webserver hinaus direkt auf Entwickler-Workstations und Build-Pipelines.
Entwicklungsinfrastruktur als neues Hochrisiko-Ziel
Die Bedeutung von CVE-2025-11953 liegt weniger in der technischen Raffinesse der Luecke als im deutlich werdenden Muster: Sobald ein Entwicklungsdienst von aussen erreichbar ist, wird er de facto Teil der produktiven Infrastruktur. Aehnliche Situationen werden regelmaessig bei Jenkins-, GitLab-Runner- oder CI/CD-Umgebungen, Debug-Backends von Admin-Oberflaechen oder vermeintlich temporaeren Testsystemen beobachtet.
Solche Dienste werden haeufig nach dem Prinzip „Hauptsache, es funktioniert“ konfiguriert – mit schwacher oder fehlender Authentifizierung, ohne saubere Netzsegmentierung und mit minimalem Monitoring. Gelingt hier eine Kompromittierung, erhaelt der Angreifer oft direkten Zugriff auf Quellcode, Tokens, SSH-Schluessel, Secrets und VPN-Konfigurationen und kann sich von der Entwicklungsumgebung aus in sensiblere Bereiche der Unternehmensinfrastruktur vorarbeiten.
Praevention: Konkrete Schutzmassnahmen gegen Metro4Shell
Um das Risiko durch Metro4Shell und aehnliche Schwachstellen zu reduzieren, sollten Organisationen mehrere Sicherheitsmassnahmen kombinieren. Im Mittelpunkt steht ein sofortiges Update von @react-native-community/cli-server-api auf Version 20.0.0 oder hoeher in allen React-Native-Projekten.
Darueber hinaus sollten Metro-Server grundsaetzlich nur an 127.0.0.1 (localhost) gebunden werden. Fuer Remote-Debugging sind abgesicherte Loesungen wie SSH-Tunnel oder VPN mit strengen Zugriffsrichtlinien einem direkten Internet-Exposure vorzuziehen. Eine feingranulare Netzsegmentierung sowie die Anwendung von Zero-Trust-Prinzipien auf Entwicklungsumgebungen helfen, den Schaden im Fall einer Kompromittierung einzugrenzen.
Ergaenzend sollten Monitoring und Detection gezielt auf Auffaelligkeiten im EntwicklervLAN ausgerichtet werden: ungewoehnliche HTTP-Anfragen an Endpunkte wie /open-url, unerwartete PowerShell-Aufrufe auf Entwicklerrechnern oder die Downloads unbekannter Binaerdateien sind klare Indikatoren, die automatisiert erkannt und untersucht werden sollten.
Metro4Shell fuehrt vor Augen, wie stark sich die Grenze zwischen „internen“ Entwickler-Tools und „produktiven“ Services aufloest. Wer die Sicherheit der Dev-Infrastruktur vernachlaessigt, akzeptiert damit unmittelbare Betriebsrisiken – bis hin zu Supply-Chain-Angriffen. Unternehmen sollten daher regelmaessig exponierte Services inventarisieren, Abhaengigkeiten aktuell halten und DevSecOps-Praktiken fest im Entwicklungsprozess verankern, um auf neue Angriffswellen gegen React-Native-Oekosysteme und andere Entwicklerplattformen vorbereitet zu sein.
