CVE-2026-45321 in arktype-adapterinfo

Zusammenfassung

von VulDB • 12.05.2026

Am 11.05.2026, zwischen ca. 19:20 und 19:26 UTC, wurden 84 bösartige Versionen von 42 @tanstack/*-Paketen im npm-Registry veröffentlicht. Die Veröffentlichungen wurden über die legitime GitHub Actions OIDC trusted-publisher-Bindung für TanStack/router authentifiziert, wobei der Veröffentlichungs-Workflow selbst nicht geändert wurde. Der Angreifer verknüpfte drei bekannte Schwachstellenklassen – eine Fehlkonfiguration von pull_request_target „Pwn Request“, GitHub Actions Cache Poisoning über die Vertrauensgrenze zwischen Fork und Base sowie die Extraktion von Laufzeitdaten aus dem Arbeitsspeicher des OIDC-Tokens aus dem Actions-Läuferprozess –, um malware mit Diebstahlfunktionen für Anmeldeinformationen unter einer vertrauenswürdigen Identität zu veröffentlichen. Jedes betroffene Paket erhielt genau zwei bösartige Versionen, die wenige Minuten voneinander entfernt veröffentlicht wurden.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

11.05.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362880

CPE

bereit

EPSS

0.17051

KEV

ja

Aktivitäten

very low

Sektor

Telecommunication, Energy, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-45321
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-45321
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-45321/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!