| CVE ID | CVE-2026-48027 |
|---|---|
| 製品 | Nx / Nx Console (VS Code 拡張) |
| CVSS | 9.8(Critical) CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| 種別 (CWE) | CWE-506 埋め込まれた悪意あるコード |
| 登録/公開日 | 2026/05/27 |
| KEV 期限 | 2026/06/10 まで(米国連邦機関向け目安) |
| 推奨対応 | ベンダー指示に従い緩和策を適用。緩和策が無ければ製品の使用を停止(CISA KEV)。 |
| 出典 | https://nvd.nist.gov/vuln/detail/CVE-2026-48027 |
2026-05-19 12:30 UTC に Nx Console の悪意あるバージョン 18.95.0 が公開され、約18分後の 12:48 UTC に削除された。この短時間に取得された拡張は難読化ペイロードを取得し、ディスク上やメモリ上の複数ソースから資格情報を窃取する挙動を持つ。Nx Console は Nx/Lerna 向けの開発者UI拡張で、当該時間帯に更新・インストールした開発者環境が影響を受ける。
各ベンダー公式アドバイザリで確認できた事実に基づき整理しています。確認できていない項目は「情報確認中」と明記し、存在しないパッチ番号・バージョンは記載しません。
| 環境 | 対応状況 | 対応方法・備考 |
|---|---|---|
| AWS (ECS/EC2) | パッチあり(アプリ更新) |
影響開発端末の Nx Console を正規版へ更新し、露出し得た AWS アクセスキー/一時認証情報をローテーション
AWS 側の脆弱性ではなく、窃取され得た資格情報の失効・IAM 監査が対応の要点。
参照リンク
|
| GCP | パッチあり(アプリ更新) |
Nx Console を正規版へ更新し、露出し得た GCP サービスアカウント鍵/トークンをローテーション
GCP 側の脆弱性ではなく資格情報の失効が要点。
参照リンク
|
| Azure | パッチあり(アプリ更新) |
Nx Console を正規版へ更新し、露出し得た Azure 資格情報/PAT をローテーション
Azure 側の脆弱性ではなく資格情報の失効が要点。
参照リンク
|
| Linux | パッチあり(アプリ更新) |
Linux 開発端末でも悪意あるバージョンを削除し正規版へ更新。ローカルの認証情報を棚卸し・ローテーション。
OS パッケージではなくエディタ拡張の問題。開発端末(OS 問わず)で対応。
参照リンク
|
確認できた公式情報に基づく環境別の対応手順です。実施前に必ず一次情報と自環境で検証してください。
悪意あるバージョン 18.95.0 を直ちに削除し、クリーンな正規版へ更新する。当該時間帯に取得した可能性がある環境では、拡張が触れ得るトークン/資格情報(クラウドキー・npm/GitHub トークン・SSH 鍵等)を失効・ローテーションする。CI/開発端末のシークレット棚卸しを行う。
Critical(CVSS 9.8)に分類されるNx Nx Console (VS Code 拡張)の脆弱性です。2026-05-19 12:30 UTC に Nx Console の悪意あるバージョン 18.95.0 が公開され、約18分後の 12:48 UTC に削除された。この短時間に取得された拡張は難読化ペイロードを取得し、ディスク上やメモリ上の複数ソースから資格情報を窃取する挙動を持つ。Nx Console は Nx/Lerna 向けの開発者UI拡張で、当該時間帯に更新・インストールした開発者環境が影響を受ける。
悪意あるバージョン 18.95.0 を直ちに削除し、クリーンな正規版へ更新する。当該時間帯に取得した可能性がある環境では、拡張が触れ得るトークン/資格情報(クラウドキー・npm/GitHub トークン・SSH 鍵等)を失効・ローテーションする。CI/開発端末のシークレット棚卸しを行う。
Nx Nx Console (VS Code 拡張) を利用している場合、稼働バージョンが影響範囲に含まれるかを一次情報(https://nvd.nist.gov/vuln/detail/CVE-2026-48027)で確認してください。AWS・GCP・Azure・Linux それぞれの対応状況は本ページの「クラウド/OS 別の対応状況」表にまとめています。確認できていない項目は「情報確認中」と明記しており、存在しないパッチ番号・バージョンは記載していません。
はい。CISA の既知の悪用された脆弱性カタログ(KEV)に登録されており、実環境での悪用が確認されています。米国連邦機関向けの対応期限の目安は 2026/06/10 です。推奨される対応: ベンダー指示に従い緩和策を適用。緩和策が無ければ製品の使用を停止(CISA KEV)。
同じ製品・ベンダー・脆弱性種別の掲載中CVE。あわせて対応状況を確認できます。