つみかさね

CVE-2026-45321

Critical(9.8)

CVE-2026-45321 — @tanstack/* サプライチェーン攻撃による認証情報窃取

公開日: 2026-05-13データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
@tanstack/react-routerTanStack< 1.169.9
@tanstack/router-coreTanStack< 1.169.9
@tanstack/* 他82パッケージTanStackマルウェア混入バージョン

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1@tanstack/* パッケージの使用バージョンを確認する
  2. 2修正バージョンへアップデートする
  3. 3影響バージョンを使用していた場合、クラウド認証情報・GitHubトークン・SSH鍵をローテーションする
  4. 4CI/CD環境のログを確認し、不審な外部通信がないか調査する

影響対象

@tanstack/*パッケージ利用者CI/CD環境管理者

補足

  • -84パッケージが影響を受けるサプライチェーン攻撃です。パッケージ更新だけでなく認証情報のローテーションが必須です

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

R
React のリリース情報 →
CVETanStackサプライチェーン攻撃npmマルウェア

概要

@tanstack/* の npm パッケージ群(84パッケージ)にマルウェアが埋め込まれ、インストール環境からクラウド認証情報、GitHub トークン、SSH 鍵などの機密情報を外部サーバーへ送信するサプライチェーン攻撃が確認されました。

@tanstack/react-router や @tanstack/router-core をはじめとする広範なパッケージが影響を受けており、CI/CD 環境やデプロイサーバーなどで利用している場合、認証情報が漏洩している可能性があります。影響を受けたバージョンを使用していた環境では、パッケージのアップデートに加え、すべてのクラウド認証情報・トークン・SSH鍵のローテーションが必要です。

CVSSベクトル

項目
CVSSスコア9.8(Critical)
CWECWE-506(埋め込み悪意コード)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
@tanstack/react-routerTanStackマルウェア混入バージョン(< 1.169.9)
@tanstack/router-coreTanStackマルウェア混入バージョン(< 1.169.9)
@tanstack/* 他82パッケージTanStackマルウェア混入バージョン

修正バージョンと回避策

  • @tanstack/react-router: 1.169.9 へアップデート
  • @tanstack/router-core: 1.169.9 へアップデート
  • その他影響パッケージも最新の修正バージョンへアップデート
  • 重要: 影響バージョンを使用していた環境では、すべてのクラウド認証情報、GitHubトークン、SSH鍵のローテーションを速やかに実施してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-45321
GitHub Advisory:https://github.com/TanStack/router/security/advisories/GHSA-g7cv-rxg3-hmpx
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。