Krytyczna luka w TanStack umożliwiająca publikację złośliwego oprogramowania

CVE-2026-45321 to krytyczna luka w TanStack umożliwiająca publikację malware w pakietach npm. Sprawdź zalecenia bezpieczeństwa i działania naprawcze.
CVE-2026-45321CVSS 9.6CISA KEVDNS

Krytyczna luka w TanStack umożliwiająca publikację złośliwego oprogramowania

CVE-2026-45321 to krytyczna luka w TanStack umożliwiająca publikację malware w pakietach npm. Sprawdź zalecenia bezpieczeństwa i działania naprawcze.

CVSS
9.6 CRITICAL
EPSS
81.56%
Aktywnie wykorzystywana
tak
Produkt
TanStack

Co wiadomo

W dniu 11 maja 2026 roku opublikowano 84 złośliwe wersje w 42 pakietach @tanstack/* w rejestrze npm, wykorzystując łańcuch trzech luk bezpieczeństwa w GitHub Actions. Atakujący wykorzystali błędną konfigurację pull_request_target, zatrucie cache GitHub Actions oraz wyciek tokena OIDC, aby opublikować malware pod zaufanym kontem.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 9.6 pozwala na publikację złośliwego kodu w oficjalnych pakietach TanStack, co może prowadzić do kradzieży danych uwierzytelniających i kompromitacji środowisk deweloperskich. Operatorzy IT powinni traktować tę lukę jako wysokie ryzyko dla łańcucha dostaw oprogramowania i natychmiast podjąć działania w celu ograniczenia ekspozycji.

Rekomendowane działania administratora

Zaleca się natychmiastową weryfikację i aktualizację pakietów @tanstack/* do wersji wolnych od złośliwego kodu, przegląd konfiguracji GitHub Actions pod kątem błędów pull_request_target oraz monitorowanie logów pod kątem podejrzanych działań. Warto również ograniczyć uprawnienia publikacji i stosować dodatkowe mechanizmy kontroli dostępu oraz audytu.

Źródła