CISA 要求聯邦機構對軟體供應鏈攻擊漏洞採取行動(2026-05-27 KEV 更新)
事件概要
2026年5月27日,CISA 將三個因供應鏈攻擊導致軟體被植入惡意程式碼的漏洞列入 KEV,罕見地以供應鏈入侵(而非一般軟體弱點)為由強制聯邦機構修補。
三個 KEV 收錄漏洞
CVE-2026-8398 — Daemon Tools Lite 供應鏈攻擊
- 軟體:虛擬光碟機軟體 Daemon Tools Lite(開發商 AVB Disc Soft)
- 攻擊手法:合法簽章安裝檔內部元件遭竄改,下載後連往偽造 Daemon Tools 網域取得額外工具
- 揭露時間:卡巴斯基 2026年5月初揭露
- 受影響版本:12.5.0.2421 至 12.5.0.2434
- 聯邦機構截止日:2026-05-30
CVE-2026-45321 — TanStack Router NPM 套件
- 攻擊手法:駭客滲透 GitHub Actions 發布流程,上架惡意 NPM 套件
- 聯邦機構截止日:2026-06-10
CVE-2026-48027 — Nx Console VS Code 延伸套件
- 攻擊手法:v18.95.0 版本遭植入竊資軟體(TeamPCP TanStack 攻擊鏈)
- 聯邦機構截止日:2026-06-10
意涵
此次 KEV 收錄顯示 CISA 正式將供應鏈攻擊型入侵列為與傳統軟體漏洞同等重要的修補義務,對各國政府機構與企業具有重要參考意義。
來源文章
相關頁面
- cisa — 發布 KEV 要求的主管機關
- software-supply-chain-attack — 軟體供應鏈攻擊通用概念
- Nx Console VS Code延伸套件供應鏈攻擊CVE-2026-48027竊資軟體植入 — CVE-2026-48027 事件詳情
- Mini Shai-Hulud供應鏈攻擊波及GitHub近3800個內部儲存庫遭外洩 — TanStack 攻擊鏈上游事件