Vulnerabilidad en react-native-bottom-tabs (CVE-2025-54594)

react-native-bottom-tabs es una librería de pestañas inferiores nativas para React Native. En las versiones 0.9.2 y anteriores, el flujo de trabajo del repositorio de GitHub Actions, github/workflows/release-canary.yml, utilizaba incorrectamente el desencadenador de eventos pull_request_target, lo que permitía la ejecución de código no confiable de una solicitud de extracción bifurcada en un contexto privilegiado. Un atacante podría crear una solicitud de extracción que contuviera un script de preinstalación malicioso en el archivo package.json y luego activar el flujo de trabajo vulnerable publicando un comentario específico (!canary). Esto permitía la ejecución de código arbitrario, lo que conducía a la exfiltración de secretos sensibles como GITHUB_TOKEN y NPM_TOKEN, y podría haber permitido a un atacante enviar código malicioso al repositorio o publicar paquetes comprometidos en el registro de NPM. Existe un commit de remediación que elimina github/workflows/release-canary.yml, pero aún no se ha publicado una versión con esta corrección.