react-native-bottom-tabs: GitHub Actions canary 工作流中的任意代码执行导致敏感信息泄露

攻击者可以利用此漏洞通过提交包含恶意 preinstall 脚本的 package.json 文件的 pull request，并触发特定的评论 (!canary) 来触发易受攻击的工作流。这使得攻击者能够在构建过程中执行任意代码，从而获得对项目的完全控制权。潜在的影响包括敏感信息的窃取（例如 API 密钥、数据库密码）、恶意软件的注入以及对应用程序行为的篡改。由于该漏洞涉及 GitHub Actions，攻击者可能能够影响使用该库的多个项目，造成广泛的破坏。该漏洞的严重性类似于供应链攻击，攻击者可以通过修改依赖项来影响下游用户。

React Native developers and organizations using the react-native-bottom-tabs library in their projects are at risk. This includes those relying on automated build pipelines and continuous integration/continuous delivery (CI/CD) systems, as the vulnerability can be exploited during the build process. Projects utilizing forked repositories or accepting pull requests from external contributors are particularly vulnerable.

• react: Examine your package.json files for suspicious preinstall scripts, especially in dependencies related to react-native-bottom-tabs.

grep 'preinstall' package.json

• github: Review your GitHub Actions workflows (.github/workflows/release-canary.yml) for improper use of pullrequesttarget event triggers. Ensure that only trusted code is executed in privileged contexts. • react: Check your project's dependencies for versions of react-native-bottom-tabs less than 0.9.3 using npm list react-native-bottom-tabs or yarn list react-native-bottom-tabs.

1. 2025-08-05Disclosure

   disclosure

1. 已保留2025-07-25
2. 发布日期2025-08-05
3. 修改日期2025-08-06
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将 react-native-bottom-tabs 升级至 0.9.3 或更高版本。如果升级会导致构建中断，可以考虑回滚到之前的稳定版本，并密切监控潜在的攻击活动。此外，建议审查 GitHub Actions 工作流的配置，确保使用安全的事件触发器，并验证所有输入数据的来源。可以考虑使用 GitHub 的安全功能，例如代码扫描和依赖项分析，以检测和防止此类漏洞。由于该漏洞涉及 GitHub Actions，建议审查所有使用该库的项目的 GitHub Actions 配置。