Platform
react
Component
react-native-bottom-tabs
Opgelost in
0.9.3
CVE-2025-54594 betreft een Remote Code Execution (RCE) kwetsbaarheid in de react-native-bottom-tabs bibliotheek voor React Native. Deze kwetsbaarheid stelt aanvallers in staat om schadelijke code uit te voeren via een misbruikte GitHub Actions workflow. De kwetsbaarheid is van invloed op versies van react-native-bottom-tabs tot en met 0.9.2. Een fix is beschikbaar in versie 0.9.3.
Deze kwetsbaarheid maakt het mogelijk voor een aanvaller om willekeurige code uit te voeren binnen de context van de GitHub Actions workflow. Dit kan leiden tot het stelen van gevoelige informatie, het compromitteren van de build-omgeving en het introduceren van kwaadaardige code in de uiteindelijke React Native applicatie. De aanval vereist het creëren van een pull request met een schadelijk script in het package.json bestand en het triggeren van de workflow door een specifieke commentaar (!canary) te plaatsen. De ernst van de impact is hoog, aangezien een succesvolle exploitatie kan leiden tot een volledige compromittering van de applicatie en de bijbehorende infrastructuur.
Deze kwetsbaarheid is openbaar bekend en de details van de exploitatie zijn beschikbaar. Er is geen bevestigde informatie over actieve campagnes die deze kwetsbaarheid misbruiken, maar de lage drempel voor exploitatie maakt het een aantrekkelijk doelwit. De kwetsbaarheid is gepubliceerd op 2025-08-05.
React Native developers and organizations using the react-native-bottom-tabs library in their projects are at risk. This includes those relying on automated build pipelines and continuous integration/continuous delivery (CI/CD) systems, as the vulnerability can be exploited during the build process. Projects utilizing forked repositories or accepting pull requests from external contributors are particularly vulnerable.
• react: Examine your package.json files for suspicious preinstall scripts, especially in dependencies related to react-native-bottom-tabs.
grep 'preinstall' package.json• github: Review your GitHub Actions workflows (.github/workflows/release-canary.yml) for improper use of pullrequesttarget event triggers. Ensure that only trusted code is executed in privileged contexts.
• react: Check your project's dependencies for versions of react-native-bottom-tabs less than 0.9.3 using npm list react-native-bottom-tabs or yarn list react-native-bottom-tabs.
disclosure
Exploit Status
EPSS
0.08% (23% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.9.3 of hoger van react-native-bottom-tabs. Indien een upgrade momenteel niet mogelijk is, kan het tijdelijk uitschakelen van de GitHub Actions workflow die de pullrequesttarget event trigger gebruikt een workaround bieden. Controleer de package.json bestanden op verdachte preinstall scripts en verwijder deze indien aanwezig. Overweeg het implementeren van strengere code review processen om te voorkomen dat kwaadaardige scripts worden geïntroduceerd.
Actualiseer naar een versie later dan 0.9.2 zodra deze beschikbaar is. Alternatief, verwijder de workflow `github/workflows/release-canary.yml` uit de repository. Controleer de GitHub Actions geheimen en intrek eventuele gecompromitteerde tokens.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-54594 is a critical remote code execution vulnerability in react-native-bottom-tabs versions up to 0.9.2. A malicious pull request can trigger arbitrary code execution during the build process.
Yes, if you are using react-native-bottom-tabs version 0.9.2 or earlier, you are affected by this vulnerability. Upgrade to version 0.9.3 or later to mitigate the risk.
The recommended fix is to upgrade to version 0.9.3 or later of the react-native-bottom-tabs library. Temporarily disabling the release-canary workflow is a workaround if upgrading is not immediately possible.
While active exploitation is not yet confirmed, the vulnerability is considered high probability and public proof-of-concept exploits are likely to emerge, increasing the risk.
Refer to the official react-native-bottom-tabs repository and related security advisories for the most up-to-date information and guidance.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.