Plataforma
react
Componente
react-native-bottom-tabs
Corrigido em
0.9.3
A vulnerabilidade CVE-2025-54594 é uma falha de Execução Remota de Código (RCE) presente na biblioteca react-native-bottom-tabs, utilizada para criar abas inferiores nativas em aplicações React Native. Essa falha permite que um atacante execute código arbitrário em um contexto privilegiado, potencialmente levando à exfiltração de dados sensíveis. A vulnerabilidade afeta versões até 0.9.2 e foi corrigida na versão 0.9.3.
Um atacante pode explorar essa vulnerabilidade criando um pull request malicioso para o repositório react-native-bottom-tabs. Este pull request incluiria um script 'preinstall' malicioso no arquivo 'package.json'. Ao postar um comentário específico (!canary) no pull request, o atacante pode acionar o fluxo de trabalho vulnerável do GitHub Actions, que, devido a uma configuração inadequada, executa o script malicioso em um contexto privilegiado. Isso permite a execução de código arbitrário no ambiente de build, possibilitando a exfiltração de dados confidenciais, a instalação de malware ou até mesmo o controle total do sistema. A vulnerabilidade se assemelha a ataques de supply chain, onde a confiança em componentes de terceiros é explorada para comprometer a segurança do sistema.
A vulnerabilidade CVE-2025-54594 foi divulgada em 05 de agosto de 2025. Não há informações disponíveis sobre a adição a KEV ou a existência de um EPSS score. Embora não haja relatos públicos de exploração ativa, a natureza da vulnerabilidade (RCE em um componente de supply chain) a torna um alvo atraente para atacantes. A existência de um fluxo de trabalho do GitHub Actions que permite a execução de código arbitrário a partir de pull requests maliciosos aumenta o risco de exploração.
React Native developers and organizations using the react-native-bottom-tabs library in their projects are at risk. This includes those relying on automated build pipelines and continuous integration/continuous delivery (CI/CD) systems, as the vulnerability can be exploited during the build process. Projects utilizing forked repositories or accepting pull requests from external contributors are particularly vulnerable.
• react: Examine your package.json files for suspicious preinstall scripts, especially in dependencies related to react-native-bottom-tabs.
grep 'preinstall' package.json• github: Review your GitHub Actions workflows (.github/workflows/release-canary.yml) for improper use of pullrequesttarget event triggers. Ensure that only trusted code is executed in privileged contexts.
• react: Check your project's dependencies for versions of react-native-bottom-tabs less than 0.9.3 using npm list react-native-bottom-tabs or yarn list react-native-bottom-tabs.
disclosure
Status do Exploit
EPSS
0.08% (percentil 23%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2025-54594 é atualizar a biblioteca react-native-bottom-tabs para a versão 0.9.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere desabilitar temporariamente o fluxo de trabalho 'release-canary.yml' no GitHub Actions. Além disso, revise cuidadosamente todos os pull requests recebidos, especialmente aqueles que modificam o arquivo 'package.json', procurando por scripts maliciosos. Implemente políticas de segurança mais rigorosas para o gerenciamento de pull requests e a revisão de código. Após a atualização, confirme a correção verificando os logs do GitHub Actions para garantir que o fluxo de trabalho 'release-canary.yml' não esteja mais executando scripts não confiáveis.
Atualizar para uma versão posterior a 0.9.2 quando estiver disponível. Alternativamente, remover o workflow `github/workflows/release-canary.yml` do repositório. Revisar os segredos do GitHub Actions e revogar qualquer token comprometido.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-54594 is a critical remote code execution vulnerability in react-native-bottom-tabs versions up to 0.9.2. A malicious pull request can trigger arbitrary code execution during the build process.
Yes, if you are using react-native-bottom-tabs version 0.9.2 or earlier, you are affected by this vulnerability. Upgrade to version 0.9.3 or later to mitigate the risk.
The recommended fix is to upgrade to version 0.9.3 or later of the react-native-bottom-tabs library. Temporarily disabling the release-canary workflow is a workaround if upgrading is not immediately possible.
While active exploitation is not yet confirmed, the vulnerability is considered high probability and public proof-of-concept exploits are likely to emerge, increasing the risk.
Refer to the official react-native-bottom-tabs repository and related security advisories for the most up-to-date information and guidance.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.