Критична вразливість у TanStack: публікація шкідливих пакетів у npm
Виявлено критичну вразливість у TanStack, що дозволила публікацію шкідливих пакетів у npm через GitHub Actions. Рекомендується перевірка та оновлення пакетів.
- CVSS
- 9.6 CRITICAL
- EPSS
- 81.56%
- Активно використовується
- так
- Продукт
- TanStack
Що відомо
11 травня 2026 року було опубліковано 84 шкідливі версії у 42 пакетах @tanstack/* у npm, використовуючи легітимну автентифікацію GitHub Actions. Зловмисник застосував складну атаку, що поєднує кілька відомих вразливостей, для публікації шкідливого коду під довіреною ідентичністю.
Бізнес-вплив
Ця критична вразливість (CVSS 9.6) може призвести до викрадення облікових даних та поширення шкідливого програмного забезпечення через популярні пакети TanStack. Для ІТ-операторів це означає підвищений ризик компрометації систем, особливо якщо використовуються уразливі версії пакетів. Власникам інфраструктури слід терміново оцінити вплив і вжити заходів для мінімізації ризиків.
Рекомендовані дії адміністратора
Адміністраторам рекомендується негайно перевірити використання пакетів @tanstack/*, оновити їх до безпечних версій після підтвердження від постачальника, обмежити права публікації в GitHub Actions, переглянути журнали на предмет підозрілої активності та впровадити додаткові заходи контролю доступу. Якщо офіційні оновлення відсутні, слід зменшити експозицію вразливих пакетів і посилити моніторинг безпеки.