CVE-2025-54594 in react-native-bottom-tabs
Tóm tắt
Bởi VulDB • 29/05/2026
react-native-bottom-tabs là một thư viện cung cấp các tab dưới dạng Native cho React Native. Trong các phiên bản 0.9.2 trở về trước, quy trình làm việc (workflow) của GitHub Actions trong tệp github/workflows/release-canary.yml đã sử dụng không đúng cách trình kích hoạt sự kiện pull_request_target, cho phép mã không đáng tin cậy từ một pull request đã được fork chạy trong ngữ cảnh có đặc quyền. Kẻ tấn công có thể tạo một pull request chứa tập lệnh preinstall độc hại trong tệp package.json và sau đó kích hoạt quy trình làm việc dễ bị tổn thương bằng cách đăng một bình luận cụ thể (!canary). Điều này cho phép thực thi mã tùy ý, dẫn đến việc đánh cắp các bí mật nhạy cảm như GITHUB_TOKEN và NPM_TOKEN, và cũng có thể cho phép kẻ tấn công đẩy mã độc lên kho lưu trữ hoặc xuất bản các gói đã bị xâm nhập lên registry NPM. Đã có một commit khắc phục loại bỏ github/workflows/release-canary.yml, nhưng một phiên bản chứa bản sửa lỗi này vẫn chưa được phát hành.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.