Krytyczna luka w TanStack umożliwiająca publikację złośliwego oprogramowania
CVE-2026-45321 to krytyczna luka w TanStack umożliwiająca publikację malware w pakietach npm. Sprawdź zalecenia bezpieczeństwa i działania naprawcze.
- CVSS
- 9.6 CRITICAL
- EPSS
- 81.56%
- Aktywnie wykorzystywana
- tak
- Produkt
- TanStack
Co wiadomo
W dniu 11 maja 2026 roku opublikowano 84 złośliwe wersje w 42 pakietach @tanstack/* w rejestrze npm, wykorzystując łańcuch trzech luk bezpieczeństwa w GitHub Actions. Atakujący wykorzystali błędną konfigurację pull_request_target, zatrucie cache GitHub Actions oraz wyciek tokena OIDC, aby opublikować malware pod zaufanym kontem.
Wpływ biznesowy
Luka o krytycznym poziomie CVSS 9.6 pozwala na publikację złośliwego kodu w oficjalnych pakietach TanStack, co może prowadzić do kradzieży danych uwierzytelniających i kompromitacji środowisk deweloperskich. Operatorzy IT powinni traktować tę lukę jako wysokie ryzyko dla łańcucha dostaw oprogramowania i natychmiast podjąć działania w celu ograniczenia ekspozycji.
Rekomendowane działania administratora
Zaleca się natychmiastową weryfikację i aktualizację pakietów @tanstack/* do wersji wolnych od złośliwego kodu, przegląd konfiguracji GitHub Actions pod kątem błędów pull_request_target oraz monitorowanie logów pod kątem podejrzanych działań. Warto również ograniczyć uprawnienia publikacji i stosować dodatkowe mechanizmy kontroli dostępu oraz audytu.