Plateforme
react
Composant
react-native-bottom-tabs
Corrigé dans
0.9.3
La vulnérabilité CVE-2025-54594 affecte la bibliothèque react-native-bottom-tabs, une solution de navigation pour React Native. Elle permet l'exécution de code arbitraire via une manipulation malveillante des workflows GitHub Actions. Les versions concernées sont celles inférieures ou égales à 0.9.2. Une correction a été déployée dans la version 0.9.3.
Cette vulnérabilité est particulièrement critique car elle permet à un attaquant d'injecter du code malveillant dans le processus de publication de la bibliothèque. En créant une pull request contenant un script preinstall malveillant dans le fichier package.json et en déclenchant le workflow GitHub Actions via un commentaire (!canary), l'attaquant peut exécuter ce code dans un contexte privilégié. Cela peut conduire à la compromission complète du projet, à l'exfiltration de données sensibles, voire à la prise de contrôle du système sur lequel la bibliothèque est utilisée. Le risque est exacerbé par le fait que cette vulnérabilité peut être exploitée sans authentification, rendant l'attaque potentiellement accessible à un large éventail d'attaquants.
Cette vulnérabilité a été rendue publique le 5 août 2025. Bien qu'il n'y ait pas d'indication d'exploitation active à ce jour, la simplicité de l'exploitation et la criticité de l'impact rendent cette vulnérabilité très préoccupante. Il est probable que des preuves de concept (PoC) publiques soient rapidement disponibles, augmentant le risque d'exploitation. La vulnérabilité n'est pas encore répertoriée sur le KEV de CISA.
React Native developers and organizations using the react-native-bottom-tabs library in their projects are at risk. This includes those relying on automated build pipelines and continuous integration/continuous delivery (CI/CD) systems, as the vulnerability can be exploited during the build process. Projects utilizing forked repositories or accepting pull requests from external contributors are particularly vulnerable.
• react: Examine your package.json files for suspicious preinstall scripts, especially in dependencies related to react-native-bottom-tabs.
grep 'preinstall' package.json• github: Review your GitHub Actions workflows (.github/workflows/release-canary.yml) for improper use of pullrequesttarget event triggers. Ensure that only trusted code is executed in privileged contexts.
• react: Check your project's dependencies for versions of react-native-bottom-tabs less than 0.9.3 using npm list react-native-bottom-tabs or yarn list react-native-bottom-tabs.
disclosure
Statut de l'Exploit
EPSS
0.08% (percentile 23%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque react-native-bottom-tabs vers la version 0.9.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le workflow GitHub Actions release-canary.yml ou de restreindre l'accès aux pull requests provenant de forks non approuvés. Il est également conseillé de surveiller attentivement les pull requests et de vérifier le contenu des fichiers package.json avant de les fusionner. Après la mise à jour, vérifiez l'intégrité de la bibliothèque en exécutant une analyse de sécurité et en vous assurant qu'aucun code malveillant n'est présent.
Mettre à jour vers une version postérieure à 0.9.2 lorsque celle-ci sera disponible. Alternativement, supprimer le workflow `github/workflows/release-canary.yml` du dépôt. Examiner les secrets de GitHub Actions et révoquer tout token compromis.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-54594 is a critical remote code execution vulnerability in react-native-bottom-tabs versions up to 0.9.2. A malicious pull request can trigger arbitrary code execution during the build process.
Yes, if you are using react-native-bottom-tabs version 0.9.2 or earlier, you are affected by this vulnerability. Upgrade to version 0.9.3 or later to mitigate the risk.
The recommended fix is to upgrade to version 0.9.3 or later of the react-native-bottom-tabs library. Temporarily disabling the release-canary workflow is a workaround if upgrading is not immediately possible.
While active exploitation is not yet confirmed, the vulnerability is considered high probability and public proof-of-concept exploits are likely to emerge, increasing the risk.
Refer to the official react-native-bottom-tabs repository and related security advisories for the most up-to-date information and guidance.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.