CISA要求聯邦機構對近期發生的軟體供應鏈事故採取行動

來源:iThome(ID: 629)
URL:https://www.ithome.com.tw/news/176175
發布日期:2026-05-28

原文摘要

2026年5月27日,美國 CISA 將三個因供應鏈攻擊導致軟體遭植入惡意程式碼的漏洞列入 KEV(已遭利用漏洞目錄):

  1. CVE-2026-8398(Daemon Tools Lite):虛擬光碟機軟體供應鏈攻擊,卡巴斯基5月初揭露。受影響版本 12.5.0.2421~12.5.0.2434,安裝檔具合法 AVB Disc Soft 簽章但內部元件遭竄改,下載後連往偽造網域取得額外工具。聯邦機構截止日:5月30日

  2. CVE-2026-45321(TanStack Router NPM 套件):供應鏈攻擊,駭客滲透 GitHub Actions 發布流程上架惡意套件。聯邦機構截止日:6月10日

  3. CVE-2026-48027(Nx Console VS Code 延伸套件):同屬 TanStack 攻擊鏈,v18.95.0 遭植入竊資軟體。聯邦機構截止日:6月10日

此次 KEV 收錄罕見地以供應鏈攻擊植入為由,而非一般軟體弱點,顯示 CISA 將供應鏈安全威脅提升至正式管制層級。

衍生頁面