TanStack 제품에서 공급망 공격(supply-chain compromise, 배포 경로가 침해되는 공격) 문제를 해결하는 보안 업데이트가 발표되었다. 이 문제는 CVE-2026-45321로 식별되었다.
- 영향을 받는 대상은 여러 @tanstack/* 패키지이다.
- 예시로 @tanstack/react-router, @tanstack/solid-router, @tanstack/vue-router, @tanstack/start 계열과 각종 devtools, adapter, plugin 패키지가 포함된다.
- 해당 패키지의 취약 버전과 수정 버전이 함께 안내되었다.
- 참고 사이트에는 TanStack npm supply-chain compromise postmortem과 GitHub 보안 권고가 제시되었다.
공개된 안내에 따르면 사용자는 해당 패키지를 최신 취약점 패치 버전으로 업데이트해야 한다. 본문에는 이 공격으로 cloud credentials, GitHub tokens, SSH keys가 유출된다고 설명된 참고 사이트가 포함되어 있다.