Trusted Design

CVE-2026-48027 の詳細

CVEの情報

説明:
Nx Console is the user interface for Nx & Lerna. On 19 May 2026, a malicious version of Nx Console, 18.95.0, was published at 12:30 PM UTC and removed soon after at 12:48 PM UTC, leaving it available for ~18 minutes in Visual Studio Marketplace. For OpenVSX, the problem was detected later, and the compromised version was available from 12:33 UTC to 13:09 UTC (~36 minutes). Version 18.100.0 of Nx Console is not compromised and users may remediate by upgrading to that version.

CVE更新日: 2026-05-27 17:16:41.787000

CVSSバージョン: 4.0

CVSSスコア: 9.3

KEVの情報

KEV更新日: 2026-05-27

EPSSの情報

EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。

EPSSスコア: 0.268490000

EPSS更新日: 2026-06-01 00:00:00

SSVCの情報

SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。

Exploitation: active

Technical Impact: low

Automatable: True

AIを使った解説

解説:

1. 脆弱性の概要

CVE-2026-48027 は、Nx Console(VS Code / OpenVSX 向け拡張機能)に対するサプライチェーン攻撃。 攻撃者が 悪意あるバージョン 18.95.0 を正規マーケットプレイスへ短時間公開し、インストールした開発者環境で 認証情報窃取ペイロード が実行される。

  • Visual Studio Marketplace では 12:30〜12:48 UTC(18分間) 公開
  • OpenVSX では 12:33〜13:09 UTC(36分間) 公開

悪意ある拡張は、外部から難読化されたペイロードを取得し、ディスクおよびメモリ上の認証情報を窃取する。

1.1 影響

  • 開発者端末・CI 環境に保存された 各種認証情報の窃取

  • GitHub / AWS / GCP / npm / SSH などの秘密情報が漏洩する可能性
    (ペイロードは「credentials from disk and memory」を窃取)

  • 開発環境の完全性喪失(攻撃者コードがユーザ権限で実行)

1.2 深刻度

  • CVSS v3.1:9.3(Critical)
    一部報道では 9.8(Critical) とも記載

  • CISA Known Exploited Vulnerabilities(KEV)に登録済み
    (=実際に悪用が確認されている)

2. 対象となる環境

2.1 影響を受ける OS バージョン

  • Nx Console は VS Code / OpenVSX 拡張のため OS 依存なし
    (Windows / macOS / Linux すべて影響)

※一次情報に OS 記述なし

2.2 影響を受ける設定

  • Nx Console 18.95.0 をインストールした環境
    (Visual Studio Marketplace または OpenVSX)

  • 影響を受けないバージョン:18.100.0

3. 影響を受けた時の兆候(IOC)

一次情報で確認できる兆候:

  • インストール済み拡張のバージョンが 18.95.0

  • 拡張が外部から 難読化されたペイロードを取得して実行
    (=ネットワーク通信の発生)

  • 開発環境内の認証情報(GitHub Token など)が不正利用される可能性
    (窃取ペイロードの性質より推定、一次情報に「credentials from disk and memory」と明記)

4. 推奨対策

4.1 本対策(恒久対策)

  • Nx Console を 18.100.0 以降へアップグレード

  • 18.95.0 をアンインストール
    (OpenCVE 推奨)

  • 影響期間にインストールした環境を 侵害前提で扱い、すべての認証情報をローテーション
    (窃取ペイロードの性質より、一次情報に「credentials from disk and memory」と記載)

  • CISA は FCEB 機関に対し 2026/6/10 までに対策を義務化

4.2 暫定回避策(緩和策)

一次情報に明記されている暫定策:

  • Nx Console 18.95.0 を削除
  • 拡張のインストール履歴を確認
  • ベンダーの追加アドバイスが出るまで利用を中止
    (CISA は「mitigations per vendor instructions または使用中止」を要求)

追加観点

  • 実際の悪用状況

    • CISA KEV に登録されており、実際に悪用されている

  • 攻撃手法の特徴

    • 正規マーケットプレイスに短時間だけ悪意ある拡張が公開される
    • 典型的な サプライチェーン攻撃
    • 拡張インストール時に自動実行される仕組みを悪用

NVDサイト

NVDでCVEの詳細を見る

戻る