| CVE ID | CVE-2026-45321 |
|---|---|
| 製品 | TanStack / @tanstack/* (npm パッケージ群) |
| CVSS | 9.6(Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
| 種別 (CWE) | CWE-506 埋め込まれた悪意あるコード |
| 登録/公開日 | 2026/05/12 |
| KEV 期限 | 2026/06/02 まで(米国連邦機関向け目安) |
| 推奨対応 | ベンダー指示に従い緩和策を適用。緩和策が無ければ製品の使用を停止(CISA KEV)。 |
| 出典 | https://nvd.nist.gov/vuln/detail/CVE-2026-45321 |
2026-05-11 の約19:20〜19:26 UTC に、42個の @tanstack/* パッケージにわたり84の悪意あるバージョンが npm レジストリへ公開された。公開は正規の GitHub Actions OIDC トークンを用いて認証されており、信頼された発行元を装って資格情報窃取マルウェアが配布された。当該時間帯に該当バージョンを取得した環境が影響を受ける。
各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。
| 環境 | 対応状況 | 対応方法・備考 |
|---|---|---|
| AWS (ECS/EC2) | パッチあり(アプリ更新) |
依存を監査して悪意あるバージョンを除去・正規版へ固定。露出し得た AWS 資格情報をローテーション
AWS 側脆弱性ではなくアプリ依存の問題。lockfile 監査とシークレット失効が要点。
参照リンク
|
| GCP | パッチあり(アプリ更新) |
依存を監査して除去・固定。露出し得た GCP 資格情報をローテーション
GCP 側脆弱性ではなく依存監査が要点。
参照リンク
|
| Azure | パッチあり(アプリ更新) |
依存を監査して除去・固定。露出し得た Azure 資格情報をローテーション
Azure 側脆弱性ではなく依存監査が要点。
参照リンク
|
| Linux | パッチあり(アプリ更新) |
Linux ビルド/CI 環境でも lockfile を監査し悪意あるバージョンを除去、正規版へ固定。
OS パッケージではなく npm 依存の問題。ビルド環境で対応。
参照リンク
|
確認できた公式情報に基づく環境別の対応手順です。実施前に必ず一次情報と自環境で検証してください。
lockfile を監査し、当該時間帯に公開された悪意あるバージョンが混入していないか確認して除去、クリーンな正規版へ固定する。npm ci をクリーン環境で再実行し、CI/開発端末で露出し得たシークレットを失効・ローテーションする。
Critical(CVSS 9.6)に分類されるTanStack @tanstack/* (npm パッケージ群)の脆弱性です。2026-05-11 の約19:20〜19:26 UTC に、42個の @tanstack/* パッケージにわたり84の悪意あるバージョンが npm レジストリへ公開された。公開は正規の GitHub Actions OIDC トークンを用いて認証されており、信頼された発行元を装って資格情報窃取マルウェアが配布された。当該時間帯に該当バージョンを取得した環境が影響を受ける。
lockfile を監査し、当該時間帯に公開された悪意あるバージョンが混入していないか確認して除去、クリーンな正規版へ固定する。npm ci をクリーン環境で再実行し、CI/開発端末で露出し得たシークレットを失効・ローテーションする。
TanStack @tanstack/* (npm パッケージ群) を利用している場合、稼働バージョンが影響範囲に含まれるかを一次情報(https://nvd.nist.gov/vuln/detail/CVE-2026-45321)で確認してください。AWS・GCP・Azure・Linux それぞれの対応状況は本ページの「クラウド/OS 別の対応状況」表にまとめています。確認できていない項目は「情報確認中」と明記しており、存在しないパッチ番号・バージョンは記載していません。
はい。CISA の既知の悪用された脆弱性カタログ(KEV)に登録されており、実環境での悪用が確認されています。米国連邦機関向けの対応期限の目安は 2026/06/02 です。推奨される対応: ベンダー指示に従い緩和策を適用。緩和策が無ければ製品の使用を停止(CISA KEV)。
同じ製品・ベンダー・脆弱性種別の掲載中CVE。あわせて対応状況を確認できます。