Metro4Shellはすでに実被害が出ていますか？

A. すでに実際の攻撃で悪用されていることが確認されています。

Metro4Shellは、2025年に付与された脆弱性に対する別名です。

この脆弱性は、概念実証にとどまらず、現実の脅威として利用されています。対象となるのは、React Native開発で使われるMetro Development Serverです。

脆弱な状態では、認証されていない攻撃者がPOSTリクエストだけでOSコマンドを実行できてしまいます。

脆弱性公開後、複数の研究者が検証コードを公開して注意喚起してきました。

現在も修正が適用されていない環境が残っており、実際に悪用されています。

安全なバージョンはすでに提供されていますが、未適用の環境は安全とは言えません。

実活動しているMetro4Shell https://constella-sec.jp/blog/hobokomo-securitynews/tips-1144/