React Native Metro开发服务器存在命令注入漏洞，攻击者可利用开放端口发送恶意POST请求执行任意命令。该漏洞源于@react-native-community/cli-server-api组件未对用户输入进行过滤，直接传递给open()函数处理。在Windows系统上，open@6.4.0会通过cmd执行传入参数，导致RCE风险。复现环境需降级至v19.1.0版本，攻击者可弹出计算