CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2026-48027

Nx Console — złośliwa wersja 18.95.0 zawierająca wbudowane złośliwe oprogramowanie (CWE-506)

CVSS 9.3v4.0pub. 2026-05-27

W dniu 19 maja 2026 r. opublikowano złośliwą wersję rozszerzenia Nx Console (18.95.0) w Visual Studio Marketplace oraz OpenVSX, zawierającą wbudowany szkodliwy kod. Podatność jest aktywnie exploitowana i sklasyfikowana jako krytyczna z wynikiem CVSS 9.3.

Pokaż oryginał (EN)

Nx Console is the user interface for Nx & Lerna. On 19 May 2026, a malicious version of Nx Console, 18.95.0, was published at 12:30 PM UTC and removed soon after at 12:48 PM UTC, leaving it available for ~18 minutes in Visual Studio Marketplace. For OpenVSX, the problem was detected later, and the compromised version was available from 12:33 UTC to 13:09 UTC (~36 minutes). Version 18.100.0 of Nx Console is not compromised and users may remediate by upgrading to that version.

🤖 Analiza AI
Jak działa

Atakujący opublikował skompromitowaną wersję 18.95.0 rozszerzenia Nx Console w Visual Studio Marketplace (dostępną od 12:30 do 12:48 UTC, przez ~18 minut) oraz w rejestrze OpenVSX (dostępną od 12:33 do 13:09 UTC, przez ~36 minut). Wersja ta zawierała wbudowany złośliwy kod (CWE-506 — Embedded Malicious Code), który był wykonywany na stacji roboczej użytkownika po zainstalowaniu lub aktualizacji rozszerzenia. Użytkownicy, którzy pobrali tę wersję w oknie czasowym jej dostępności, są potencjalnie narażeni na kompromitację środowiska deweloperskiego.

Skutki

Atakujący mógł uzyskać pełną kontrolę nad poufnością, integralnością i dostępnością zasobów lokalnych użytkownika (VC:H, VI:H, VA:H), co może obejmować kradzież danych, wykonanie dowolnego kodu oraz dalsze działania w skompromitowanym środowisku.

Mitygacja

Należy natychmiast zaktualizować rozszerzenie Nx Console do wersji 18.100.0 lub nowszej, która według producenta nie jest skompromitowana. Użytkownicy powinni również przejrzeć wskaźniki kompromitacji (IoC) opublikowane przez producenta pod adresem nx.dev/blog/nx-console-v18-95-0-postmortem. Zaleca się audyt środowisk deweloperskich, na których zainstalowano wersję 18.95.0.

Kogo dotyczy

Użytkownicy, którzy zainstalowali Nx Console w wersji 18.95.0 z Visual Studio Marketplace w oknie 12:30–12:48 UTC lub z OpenVSX w oknie 12:33–13:09 UTC w dniu 19 maja 2026 r.

Uwagi

Incydent miał miejsce 19 maja 2026 r. Złośliwa wersja 18.95.0 była dostępna przez ~18 minut w Visual Studio Marketplace oraz ~36 minut w OpenVSX. Producent opublikował postmortem oraz wskaźniki kompromitacji. Podatność potwierdzona w katalogu CISA KEV.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Nx Console

    APP
    Nx
    18.95.0

CISA KEV — szczegółyi

Dostawcai
Nx
Produkti
Nx Console
Data dodania do KEVi
27 maja 2026
Termin remediation (USA)i
10 czerwca 2026(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Nx Console zawiera podatność związaną z osadzonym złośliwym kodem, która pozwoliła opublikować złośliwą wersję Nx Console. Skompromitowane rozszerzenie pobierało zaciemniony payload, który mógł wydobywać dane uwierzytelniające z wielu źródeł na dysku i w pamięci.

tłumaczenie AI
Pokaż oryginał (EN)

Nx Console contains an embedded malicious code vulnerability that allowed a malicious version of Nx Console to be published. The compromised extension fetched an obfuscated payload that could harvested credentials from multiple sources on disk and in memory.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 10 czerwca 2026
CWE
Referencje

Powiązane podatności

CVE-2003-1251HIGH7.5ten sam vendor

The (1) menu.inc.php, (2) datasets.php and (3) mass_operations.inc.php (mistakenly referred to as mass_opeatio...

CVE-2007-2199MEDIUM6.8ten sam vendor

PHP remote file inclusion vulnerability in lib/pcltar.lib.php (aka pcltar.php) in the PclTar module 1.3 and 1....

CVE-2006-5625MEDIUM5.1ten sam vendor

PHP remote file inclusion vulnerability in wwwdev/nxheader.inc.php in N/X 2002 Professional Edition Web Conten...