CVE-2025-54594 in react-native-bottom-tabs
Résumé
par VulDB • 25/05/2026
react-native-bottom-tabs est une bibliothèque de Native Bottom Tabs pour React Native. Dans les versions 0.9.2 et inférieures, le workflow GitHub Actions du dépôt github/workflows/release-canary.yml utilisait de manière inappropriée le déclencheur d'événement pull_request_target, ce qui permettait l'exécution de code non fiable provenant d'une pull request sur un fork dans un contexte privilégié. Un attaquant pouvait créer une pull request contenant un script preinstall malveillant dans le fichier package.json, puis déclencher le workflow vulnérable en publiant un commentaire spécifique (!canary). Cela permettait l'exécution de code arbitraire, conduisant à l'exfiltration de secrets sensibles tels que GITHUB_TOKEN et NPM_TOKEN, et aurait pu permettre à un attaquant de pousser du code malveillant vers le dépôt ou de publier des packages compromis sur le registre NPM. Un commit de correction a été effectué pour supprimer github/workflows/release-canary.yml, mais une version incluant cette correction n'a pas encore été publiée.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.