CISA 要求聯邦機構對軟體供應鏈攻擊漏洞採取行動(2026-05-27 KEV 更新)

事件概要

2026年5月27日,CISA 將三個因供應鏈攻擊導致軟體被植入惡意程式碼的漏洞列入 KEV,罕見地以供應鏈入侵(而非一般軟體弱點)為由強制聯邦機構修補。

三個 KEV 收錄漏洞

CVE-2026-8398 — Daemon Tools Lite 供應鏈攻擊

  • 軟體:虛擬光碟機軟體 Daemon Tools Lite(開發商 AVB Disc Soft)
  • 攻擊手法:合法簽章安裝檔內部元件遭竄改,下載後連往偽造 Daemon Tools 網域取得額外工具
  • 揭露時間:卡巴斯基 2026年5月初揭露
  • 受影響版本:12.5.0.2421 至 12.5.0.2434
  • 聯邦機構截止日:2026-05-30

CVE-2026-45321 — TanStack Router NPM 套件

  • 攻擊手法:駭客滲透 GitHub Actions 發布流程,上架惡意 NPM 套件
  • 聯邦機構截止日:2026-06-10

CVE-2026-48027 — Nx Console VS Code 延伸套件

  • 攻擊手法:v18.95.0 版本遭植入竊資軟體(TeamPCP TanStack 攻擊鏈)
  • 聯邦機構截止日:2026-06-10

意涵

此次 KEV 收錄顯示 CISA 正式將供應鏈攻擊型入侵列為與傳統軟體漏洞同等重要的修補義務,對各國政府機構與企業具有重要參考意義。

來源文章

相關頁面