Критична вразливість у TanStack: публікація шкідливих пакетів у npm

Виявлено критичну вразливість у TanStack, що дозволила публікацію шкідливих пакетів у npm через GitHub Actions. Рекомендується перевірка та оновлення пакетів.
CVE-2026-45321CVSS 9.6CISA KEVDNS

Критична вразливість у TanStack: публікація шкідливих пакетів у npm

Виявлено критичну вразливість у TanStack, що дозволила публікацію шкідливих пакетів у npm через GitHub Actions. Рекомендується перевірка та оновлення пакетів.

CVSS
9.6 CRITICAL
EPSS
81.56%
Активно використовується
так
Продукт
TanStack

Що відомо

11 травня 2026 року було опубліковано 84 шкідливі версії у 42 пакетах @tanstack/* у npm, використовуючи легітимну автентифікацію GitHub Actions. Зловмисник застосував складну атаку, що поєднує кілька відомих вразливостей, для публікації шкідливого коду під довіреною ідентичністю.

Бізнес-вплив

Ця критична вразливість (CVSS 9.6) може призвести до викрадення облікових даних та поширення шкідливого програмного забезпечення через популярні пакети TanStack. Для ІТ-операторів це означає підвищений ризик компрометації систем, особливо якщо використовуються уразливі версії пакетів. Власникам інфраструктури слід терміново оцінити вплив і вжити заходів для мінімізації ризиків.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно перевірити використання пакетів @tanstack/*, оновити їх до безпечних версій після підтвердження від постачальника, обмежити права публікації в GitHub Actions, переглянути журнали на предмет підозрілої активності та впровадити додаткові заходи контролю доступу. Якщо офіційні оновлення відсутні, слід зменшити експозицію вразливих пакетів і посилити моніторинг безпеки.

Джерела