CVE-2026-45321

Суть уязвимости

CVE-2026-45321 описывает компрометацию цепочки поставок (Supply Chain Attack), связанную с экосистемой TanStack. Злоумышленники получили возможность публиковать вредоносные версии пакетов в реестре npm от имени доверенного издателя. Данные версии содержат полезную нагрузку, предназначенную для кражи учетных данных (credentials), секретов окружения и токенов доступа с машин разработчиков и серверов сборки (CI/CD).

Как исправить

Проверьте файл package.json на наличие зависимостей @tanstack/ и удалите скомпрометированные версии, обновив их до последних стабильных и проверенных версий.

npm install @tanstack/react-query@latest

Очистите локальный кэш npm, чтобы исключить повторную установку вредоносного кода из локального хранилища.

npm cache clean --force

Удалите текущий файл блокировки и директорию node_modules, после чего выполните чистую установку зависимостей.

rm -rf node_modules package-lock.json && npm install

Проведите аудит установленных пакетов для выявления известных уязвимостей.

npm audit

Временные меры

Используйте механизм overrides в package.json для принудительной фиксации версий пакетов на заведомо безопасных.

"overrides": { "@tanstack/react-query": "5.0.0" }

Настройте использование локального прокси-репозитория (например, Nexus или Artifactory) с включенной проверкой контрольных сумм и блокировкой подозрительных обновлений.

Проверьте переменные окружения и логи CI/CD на предмет несанкционированной передачи данных (exfiltration) во внешние сети.

Отозовите и обновите все секреты, токены и пароли, которые находились в среде разработки или сборки в период потенциального заражения.