CISA要求聯邦機構對近期發生的軟體供應鏈事故採取行動
來源:iThome(ID: 629)
URL:https://www.ithome.com.tw/news/176175
發布日期:2026-05-28
原文摘要
2026年5月27日,美國 CISA 將三個因供應鏈攻擊導致軟體遭植入惡意程式碼的漏洞列入 KEV(已遭利用漏洞目錄):
-
CVE-2026-8398(Daemon Tools Lite):虛擬光碟機軟體供應鏈攻擊,卡巴斯基5月初揭露。受影響版本 12.5.0.2421~12.5.0.2434,安裝檔具合法 AVB Disc Soft 簽章但內部元件遭竄改,下載後連往偽造網域取得額外工具。聯邦機構截止日:5月30日。
-
CVE-2026-45321(TanStack Router NPM 套件):供應鏈攻擊,駭客滲透 GitHub Actions 發布流程上架惡意套件。聯邦機構截止日:6月10日。
-
CVE-2026-48027(Nx Console VS Code 延伸套件):同屬 TanStack 攻擊鏈,v18.95.0 遭植入竊資軟體。聯邦機構截止日:6月10日。
此次 KEV 收錄罕見地以供應鏈攻擊植入為由,而非一般軟體弱點,顯示 CISA 將供應鏈安全威脅提升至正式管制層級。
衍生頁面
- CISA要求聯邦機構對軟體供應鏈攻擊漏洞CVE-2026-8398等採取行動 — 事件概念頁
- cisa — 發布 KEV 要求的主管機關
- software-supply-chain-attack — 相關供應鏈攻擊概念
- Nx Console VS Code延伸套件供應鏈攻擊CVE-2026-48027竊資軟體植入 — CVE-2026-48027 前序事件