Exploit activo de Metro4Shell: servidores de desarrollo comprometidos vía RCE en React Native

Desarrolladores y equipos DevOps deben extremar las precauciones. El Metro Development Server de React Native está siendo activamente explotado a través de una vulnerabilidad crítica que permite la ejecución remota de comandos sin autenticación, poniendo en riesgo tanto entornos de desarrollo como infraestructuras de producción.

Ilustración conceptual: pantallas de terminal, código y advertencia de seguridad en entorno de desarrollo React Native.

El fallo, identificado como CVE-2025-11953 (Metro4Shell), afecta al Metro Development Server incluido por defecto en el paquete npm @react-native-community/cli. Investigadores han confirmado ataques reales que permiten a actores remotos lograr ejecución remota de código (RCE) sin interacción previa, ampliando de forma significativa la superficie de ataque en entornos DevOps y CI/CD.

El exploit observado emplea scripts de PowerShell ofuscados, diseñados para desactivar mecanismos de protección, establecer comunicaciones con infraestructura controlada por el atacante y ejecutar código adicional de forma persistente. La ausencia de autenticación facilita el compromiso silencioso de estaciones de trabajo y servidores, especialmente cuando el servicio se encuentra expuesto a redes no confiables.

Puntos clave del incidente

RCE sin autenticación
Compromiso de entornos de desarrollo y CI/CD
Riesgo de robo de código y ataques a la cadena de suministro
Uso de técnicas evasivas para evitar la detección

El impacto potencial incluye exfiltración de código fuente, manipulación de artefactos de software y el uso de los sistemas comprometidos como punto de entrada para ataques posteriores, lo que convierte a esta vulnerabilidad en una amenaza relevante para organizaciones con flujos de desarrollo colaborativos.

Se recomienda actualizar de inmediato @react-native-community/cli, restringir el acceso del Metro Server a redes internas, monitorizar comportamientos anómalos y reforzar la seguridad con EDR/XDR. La explotación activa de Metro4Shell refuerza la necesidad de proteger las herramientas de desarrollo con el mismo nivel de prioridad que los sistemas en producción.

Más información

Hackers Exploit Metro4Shell RCE Flaw in React Native CLI npm Package
https://thehackernews.com/2026/02/hackers-exploit-metro4shell-rce-flaw-in.html
Hackers exploit critical React Native Metro bug to breach dev systems
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-react-native-metro-bug-to-breach-dev-systems

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Exploit activo de Metro4Shell: servidores de desarrollo comprometidos vía RCE en React Native

Puntos clave del incidente

Contenidos relacionados

Cómo obtener una clave API de codificación geográfica: guía paso a paso para desarrolladores

Beca Administrativo/a – Compliance – BDO

Alta de autónomos paso a paso: los 10 puntos clave que debes conocer

You missed

La borrasca Leonardo azota Portugal, España y Marruecos con lluvias intensas y miles de evacuados

Aviso y alerta no significan lo mismo en caso de tiempo extremo: ¿por qué es importante conocer la diferencia?

ENMIENDAS 39 – 117 – Proyecto de opinión Informe provisional sobre la propuesta de marco financiero plurianual 2028-2034 – PE782.485v01-00

Press release – EU-US trade legislation: MEPs to resume work on Turnberry proposals

Entradas recientes

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo

Exploit activo de Metro4Shell: servidores de desarrollo comprometidos vía RCE en React Native

Puntos clave del incidente

Contenidos relacionados

Cómo obtener una clave API de codificación geográfica: guía paso a paso para desarrolladores

Beca Administrativo/a – Compliance – BDO

Alta de autónomos paso a paso: los 10 puntos clave que debes conocer

You missed

La borrasca Leonardo azota Portugal, España y Marruecos con lluvias intensas y miles de evacuados

Aviso y alerta no significan lo mismo en caso de tiempo extremo: ¿por qué es importante conocer la diferencia?

ENMIENDAS 39 – 117 – Proyecto de opinión Informe provisional sobre la propuesta de marco financiero plurianual 2028-2034 – PE782.485v01-00

Press release – EU-US trade legislation: MEPs to resume work on Turnberry proposals

¿Todas tus actividades de auditoría en un solo entorno? Prueba AltonaSpain, el gestor de auditoría más completo

¿Todas tus actividades de auditoría en un solo entorno?
Prueba AltonaSpain, el gestor de auditoría más completo