Plataforma
react
Componente
react-native-bottom-tabs
Corregido en
0.9.3
La vulnerabilidad CVE-2025-54594 afecta a la biblioteca react-native-bottom-tabs, utilizada para implementar pestañas inferiores nativas en aplicaciones React Native. Esta falla permite la ejecución remota de código (RCE) debido a una configuración incorrecta del disparador de eventos pullrequesttarget en el flujo de trabajo de GitHub Actions. Las versiones afectadas son aquellas iguales o inferiores a 0.9.2. Se recomienda actualizar a la versión 0.9.3 para corregir esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad creando un pull request malicioso que contenga un script preinstall en el archivo package.json. Al publicar un comentario específico (!canary), el atacante puede activar el flujo de trabajo vulnerable de GitHub Actions, lo que permite la ejecución de código arbitrario en un contexto privilegiado. Esto podría resultar en la exfiltración de datos sensibles, la modificación de la aplicación o incluso el control total del entorno de desarrollo. La gravedad de esta vulnerabilidad radica en su potencial para comprometer la seguridad de la aplicación y la infraestructura subyacente. La ejecución de código arbitrario permite al atacante realizar prácticamente cualquier acción que pueda realizar un usuario con privilegios en el sistema.
Esta vulnerabilidad ha sido publicada el 2025-08-05. No se ha confirmado la explotación activa en el mundo real, pero la naturaleza de RCE la convierte en un objetivo atractivo para los atacantes. La vulnerabilidad se basa en una configuración incorrecta de un flujo de trabajo de GitHub Actions, lo que podría afectar a otros proyectos que utilicen patrones similares. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
React Native developers and organizations using the react-native-bottom-tabs library in their projects are at risk. This includes those relying on automated build pipelines and continuous integration/continuous delivery (CI/CD) systems, as the vulnerability can be exploited during the build process. Projects utilizing forked repositories or accepting pull requests from external contributors are particularly vulnerable.
• react: Examine your package.json files for suspicious preinstall scripts, especially in dependencies related to react-native-bottom-tabs.
grep 'preinstall' package.json• github: Review your GitHub Actions workflows (.github/workflows/release-canary.yml) for improper use of pullrequesttarget event triggers. Ensure that only trusted code is executed in privileged contexts.
• react: Check your project's dependencies for versions of react-native-bottom-tabs less than 0.9.3 using npm list react-native-bottom-tabs or yarn list react-native-bottom-tabs.
disclosure
Estado del Exploit
EPSS
0.08% (23% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2025-54594 es actualizar la biblioteca react-native-bottom-tabs a la versión 0.9.3 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente todos los pull requests antes de fusionarlos, prestando especial atención a los scripts preinstall en el archivo package.json. Además, se puede considerar la implementación de reglas en el flujo de trabajo de GitHub Actions para restringir la ejecución de scripts no confiables. Después de la actualización, confirme la mitigación revisando los logs de GitHub Actions para asegurar que el flujo de trabajo se ejecuta correctamente y sin errores relacionados con la ejecución de scripts.
Actualizar a una versión posterior a 0.9.2 cuando esté disponible. Alternativamente, eliminar el workflow `github/workflows/release-canary.yml` del repositorio. Revisar los secretos de GitHub Actions y revocar cualquier token comprometido.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-54594 is a critical remote code execution vulnerability in react-native-bottom-tabs versions up to 0.9.2. A malicious pull request can trigger arbitrary code execution during the build process.
Yes, if you are using react-native-bottom-tabs version 0.9.2 or earlier, you are affected by this vulnerability. Upgrade to version 0.9.3 or later to mitigate the risk.
The recommended fix is to upgrade to version 0.9.3 or later of the react-native-bottom-tabs library. Temporarily disabling the release-canary workflow is a workaround if upgrading is not immediately possible.
While active exploitation is not yet confirmed, the vulnerability is considered high probability and public proof-of-concept exploits are likely to emerge, increasing the risk.
Refer to the official react-native-bottom-tabs repository and related security advisories for the most up-to-date information and guidance.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.