CVE-2026-45321 in arktype-adapter
要約
〜によって VulDB • 2026年05月12日
2026年5月11日、19:20〜19:26 UTCの間に、42の@tanstack/*パッケージにわたる84の悪意あるバージョンがnpmレジストリに公開されました。これらの公開は、TanStack/routerの正当なGitHub Actions OIDC信頼済みパブリッシャーバインディングを通じて認証されましたが、公開ワークフロー自体は変更されていません。攻撃者は、3つの既知の脆弱性クラス — pull_request_targetの「Pwn Request」設定ミス、フォーク↔ベースの信頼境界全体でのGitHub Actionsキャッシュポイズニング、およびActionsランナープロセスからのOIDCトークンのランタイムメモリ抽出 — を連鎖させ、信頼されたアイデンティティの下で資格情報を窃取するマルウェアを公開しました。影響を受けた各パッケージには、数分間隔で公開された2つの悪意あるバージョンがそれぞれ含まれていました。
VulDB is the best source for vulnerability data and more expert information about this specific topic.