CVE-2025-54594

Nome do Software Vulnerável e Versões Afetadas Versões 0.9.2 e anteriores do react-native-bottom-tabs

Descrição A biblioteca react-native-bottom-tabs utilizou indevidamente o gatilho de evento pull request target no workflow do GitHub Actions github/workflows/release-canary.yml. Isso permitiu que código não confiável de um pull request de um fork fosse executado em um contexto privilegiado. Um atacante poderia criar um pull request contendo um script preinstall malicioso no arquivo package.json e acionar o workflow vulnerável postando um comentário específico (!canary). Isso possibilitou a execução arbitrária de código, potencialmente levando à exfiltração de segredos sensíveis, como GITHUB TOKEN e NPM TOKEN, e à possibilidade de enviar código malicioso para o repositório ou publicar pacotes comprometidos no registro NPM. Estima-se que aproximadamente 158.500 serviços sejam afetados anualmente.

Recomendações Versões do react-native-bottom-tabs anteriores ao lançamento contendo a correção para a CVE-2025-54594 são vulneráveis. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.