更新時間:2026/01/23 16:42:39
發佈時間:2026/01/23 16:42:38
TLP:
(White)
得對外公開散布,但不得違反著作權法等相關規定
更新說明:
一、漏洞說明[1]
Prettier專案中所維護eslint-config-prettier套件是一個廣受引用的 JavaScript 開發輔助工具。資安業者揭露,因開發者疑似遭受網路釣魚攻擊而被入侵,導致套件被植入惡意程式碼後發布至npm,該版本會於安裝過程中執行惡意指令,並進一步載入惡意程式執行。
二、已揭露攻擊活動說明
CISA已加入漏洞利用清單[2]。
▶ 漏洞資訊
⌵
名稱:
CVE-2025-54313
描述:
使用版本:CVSS 3.1
分析分數:7.5
參考來源:MITRE
▶ 影響平台
⌵
影響平台-系統:
eslint-config-prettier 版本8.10.1受到影響,建議更新至8.10.2或以上版本。
eslint-config-prettier 版本9.1.1受到影響,建議更新至9.1.2或以上版本。
eslint-config-prettier 版本10.1.6、10.1.7受到影響,建議更新至10.1.8或以上版本。
▶ 建議措施
⌵
1.官方已更新相關套件[5],建議會員若使用道受影響版本應立即更換,並確認系統內是否已被植入惡意程式。
▶ 參考資訊
⌵
| 編號 | 網址 | 說明 |
|---|---|---|
| 1 | https://www.bleepingcomputer.com/news/security/popular-npm-linter-packages-hijacked-via-phishing-to-drop-malware/ | BLEEPINGCOMPUTER |
| 2 | https://www.cisa.gov/known-exploited-vulnerabilities-catalog | CISA |
| 3 | https://github.com/advisories/GHSA-f29h-pxvx-f335 | GitHub |
| 4 | https://nvd.nist.gov/vuln/detail/CVE-2025-54313 | NVD |
| 5 | https://www.npmjs.com/package/eslint-config-prettier?activeTab=versions | NPM |
情資編號:
FISAC-200-202601-0009
系統目錄:
資安漏洞
資安類別:
漏洞公告 /
影響等級:
3
關鍵字:
弱點漏洞