Refuerzo de la seguridad tras la explotación crítica de Metro4Shell en entornos React Native

En los primeros meses de 2026 se ha confirmado la explotación activa de una vulnerabilidad crítica en el servidor de desarrollo Metro de React Native, identificada como CVE-2025-11953 y apodada Metro4Shell. Este fallo fue originalmente divulgado en noviembre de 2025, con un CVSS de 9,8 debido a su capacidad de permitir ejecución remota de código sin autenticación en sistemas donde el servidor está expuesto a la red. En febrero de 2026, organismos como la ‘Cybersecurity and Infrastructure Security Agency (CISA)’ estadounidense incluyeron la vulnerabilidad en su catálogo de vulnerabilidades conocidas explotadas (Known Exploited Vulnerabilities, KEV) confirmando su utilización en ataques reales.

Actores maliciosos han estado aprovechando este fallo, en servidores de desarrollo React Native, para comprometer máquinas de desarrolladores y pipelines CI/CD. La vulnerabilidad existe en el paquete ‘@react-native-community/cli-server-api’, que por defecto hace que Metro escuche en todas las interfaces de red, lo que permite a un atacante enviar una petición POST especialmente diseñada hacia el endpoint ‘/open-url’ y obtener ejecución de comandos arbitrarios en el sistema objetivo. Para mitigar el riesgo se han publicado parches (versión 20.0.0 o superior del paquete afectado), recomendaciones para restringir el servidor a localhost y medidas de monitoreo de actividad anómala.

La situación permanece bajo intensa vigilancia actualmente, con una fuerte recomendación de aplicar parches y endurecer las configuraciones de desarrollo para mitigar nuevas intrusiones. Aunque el distribuidor y la comunidad de React Native han lanzado correcciones y las autoridades como CISA han emitido alertas oficiales, muchas instancias de Metro siguen expuestas, lo que implica que el riesgo persiste si no se actualiza ni segmenta la red adecuadamente.