プラットフォーム
react
コンポーネント
react-native-bottom-tabs
修正版
0.9.3
CVE-2025-54594 は、React Native の bottom tabs ライブラリである react-native-bottom-tabs に存在するリモートコード実行 (RCE) の脆弱性です。この脆弱性は、GitHub Actions の設定ミスにより、fork された pull request からの悪意のあるコードが特権コンテキストで実行されることを可能にします。影響を受けるバージョンは 0.9.2 以前であり、バージョン 0.9.3 以降で修正されています。
この脆弱性を悪用されると、攻撃者は pull request に悪意のある preinstall スクリプトを埋め込み、特定のコメント (!canary) を投稿することで、GitHub Actions workflow をトリガーし、任意のコードを実行できます。これにより、機密情報の窃取、システムへの不正アクセス、さらにはシステム全体の制御奪取といった深刻な被害が発生する可能性があります。この脆弱性は、React Native アプリケーションを開発・利用している組織にとって、重大なセキュリティリスクとなります。攻撃者は、この脆弱性を利用して、アプリケーションのソースコードやユーザーデータを盗み出し、悪用する可能性があります。
この脆弱性は、GitHub Actions の設定ミスが原因で発生しており、特権昇格の可能性を秘めています。現時点では、公開されている PoC は確認されていませんが、この脆弱性の悪用に関する情報が公開される可能性はあります。CISA の KEV カタログへの登録状況は不明です。NVD (National Vulnerability Database) および CISA のアドバイザリを定期的に確認し、最新の情報を入手するようにしてください。
React Native developers and organizations using the react-native-bottom-tabs library in their projects are at risk. This includes those relying on automated build pipelines and continuous integration/continuous delivery (CI/CD) systems, as the vulnerability can be exploited during the build process. Projects utilizing forked repositories or accepting pull requests from external contributors are particularly vulnerable.
• react: Examine your package.json files for suspicious preinstall scripts, especially in dependencies related to react-native-bottom-tabs.
grep 'preinstall' package.json• github: Review your GitHub Actions workflows (.github/workflows/release-canary.yml) for improper use of pullrequesttarget event triggers. Ensure that only trusted code is executed in privileged contexts.
• react: Check your project's dependencies for versions of react-native-bottom-tabs less than 0.9.3 using npm list react-native-bottom-tabs or yarn list react-native-bottom-tabs.
disclosure
エクスプロイト状況
EPSS
0.08% (23% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への主な対策は、react-native-bottom-tabs をバージョン 0.9.3 以降にアップグレードすることです。アップグレードが困難な場合は、GitHub Actions workflow の設定を見直し、pullrequesttarget イベントトリガーの使用を避けるように修正してください。また、WAF (Web Application Firewall) やプロキシサーバーを使用して、悪意のある pull request からのコード実行をブロックすることも有効です。ワークフローのログを監視し、不審なアクティビティを検出することも重要です。
利用可能になったら 0.9.2 より後のバージョンにアップデートしてください。代替案として、リポジトリから `github/workflows/release-canary.yml` ワークフローを削除してください。GitHub Actions のシークレットを確認し、侵害されたトークンをすべて取り消してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-54594 は、React Native の bottom tabs ライブラリである react-native-bottom-tabs に存在するリモートコード実行 (RCE) の脆弱性です。GitHub Actions の設定ミスにより、fork された pull request からの悪意のあるコードが実行される可能性があります。
react-native-bottom-tabs のバージョンが 0.9.2 以前を使用している場合は、影響を受けます。バージョン 0.9.3 以降にアップグレードすることで、この脆弱性を修正できます。
react-native-bottom-tabs をバージョン 0.9.3 以降にアップグレードしてください。アップグレードが難しい場合は、GitHub Actions workflow の設定を見直し、pullrequesttarget イベントトリガーの使用を避けるように修正してください。
現時点では、公開されている PoC は確認されていませんが、この脆弱性の悪用に関する情報が公開される可能性はあります。最新の情報を常に確認するようにしてください。
react-native-bottom-tabs の公式アドバイザリは、GitHub リポジトリのリリースノートで確認できます。https://github.com/react-native-bottom-tabs/react-native-bottom-tabs/releases