Sistemas Afectados
Aplicaciones y entornos de desarrollo JavaScript que utilicen paquetes de la biblioteca de código abierto TanStack (como TanStack Router o similares) descargados desde el registro de npm.
Descripción
Una vulnerabilidad no especificada permitió la publicación de versiones maliciosas del producto dentro del registro confiable de npm bajo identidades suplantadas. Estas versiones comprometidas incluían malware diseñado para robar credenciales directamente de los entornos de desarrollo.
Recomendaciones
Aplicar de inmediato las mitigaciones indicadas por el proveedor, auditar los hashes de las dependencias (package-lock.json) en busca de versiones no autorizadas y versión sospechosa instalada a finales de mayo.
Referencias
Información de la Alerta
Código:
VENCERT-2026-028
VENCERT-2026-028
Severidad:
🔴 Crítica
🔴 Crítica
Estado:
Activa
Activa
CVE:
CVE-2026-45321
CVE-2026-45321
Publicado:
June 9, 2026
June 9, 2026