CVE-2025-54594 in react-native-bottom-tabsinformation

Résumé

par VulDB • 25/05/2026

react-native-bottom-tabs est une bibliothèque de Native Bottom Tabs pour React Native. Dans les versions 0.9.2 et inférieures, le workflow GitHub Actions du dépôt github/workflows/release-canary.yml utilisait de manière inappropriée le déclencheur d'événement pull_request_target, ce qui permettait l'exécution de code non fiable provenant d'une pull request sur un fork dans un contexte privilégié. Un attaquant pouvait créer une pull request contenant un script preinstall malveillant dans le fichier package.json, puis déclencher le workflow vulnérable en publiant un commentaire spécifique (!canary). Cela permettait l'exécution de code arbitraire, conduisant à l'exfiltration de secrets sensibles tels que GITHUB_TOKEN et NPM_TOKEN, et aurait pu permettre à un attaquant de pousser du code malveillant vers le dépôt ou de publier des packages compromis sur le registre NPM. Un commit de correction a été effectué pour supprimer github/workflows/release-canary.yml, mais une version incluant cette correction n'a pas encore été publiée.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Réserver

25/07/2025

Divulgation

06/08/2025

Modérer

accepté

Entrée

VDB-318890

CPE

prêt

EPSS

0.00463

KEV

non

Activités

très faible

Sources

Do you know our Splunk app?

Download it now for free!