Plateforme
nodejs
Composant
color-string
Corrigé dans
2.1.2
2.1.2
CVE-2025-59142 concerne un package JavaScript nommé 'color-string' qui a été compromis, entraînant l'insertion de code malveillant. Cette vulnérabilité permet une prise de contrôle complète du système affecté, avec un risque élevé de vol de données sensibles et de compromission des clés. Les versions concernées sont celles inférieures ou égales à 2.1.1, et une version corrigée (2.1.2) est désormais disponible.
Une vulnérabilité critique (CVE-2025-59142) a été identifiée dans le paquet 'color-string'. Ce paquet a été compromis et contient du code malveillant. La sévérité de cette vulnérabilité est CVSS 7.5. La source de la menace indique que tout système disposant de ce paquet installé ou en cours d'exécution doit être considéré comme totalement compromis. Cela signifie qu'un attaquant pourrait avoir un accès complet aux données et aux ressources du système. Il est impératif de prendre des mesures immédiates pour atténuer le risque. La présence de ce code malveillant pourrait permettre aux attaquants de voler des informations confidentielles, d'installer des logiciels malveillants supplémentaires ou de prendre le contrôle du système.
Le paquet 'color-string' a été manipulé pour inclure du code malveillant, permettant aux attaquants de compromettre les systèmes qui l'utilisent. La source de la menace indique que l'attaquant peut obtenir un contrôle total sur le système affecté. Ce type d'attaque est particulièrement dangereux car le code malveillant peut être caché au sein d'un paquet apparemment légitime, ce qui rend sa détection difficile. La nature du code malveillant n'est pas détaillée, mais la gravité de la vulnérabilité suggère qu'il est capable de causer des dommages importants.
Any Node.js project utilizing the color-string package, particularly those relying on it for color manipulation or formatting in command-line interfaces or web applications, are at risk. Developers using automated dependency management tools (npm, yarn) are especially vulnerable if they haven't implemented robust dependency auditing and security scanning practices. Shared hosting environments where multiple applications share the same Node.js runtime are also at increased risk.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object Name, Path• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter color-string.js | Select-Object FullName• generic web:
curl -I https://your-node-app.com/ | grep -i 'color-string'disclosure
patch
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
L'atténuation principale est la suppression immédiate du paquet 'color-string' de tous les systèmes affectés. Avant de le supprimer, il est crucial de faire pivoter immédiatement toutes les informations d'identification, les clés API et les secrets stockés sur le système compromis, en utilisant une machine propre et sécurisée. Après la suppression et la rotation des informations d'identification, il est recommandé d'effectuer une analyse approfondie du système pour détecter toute activité malveillante persistante. Mettez à jour tous les autres paquets et dépendances vers leurs dernières versions afin de renforcer la sécurité globale du système. Envisagez de mettre en œuvre un système de détection d'intrusion pour surveiller les activités suspectes.
Actualice la dependencia color-string a la versión 2.1.2 o superior. Si utilizó la versión 2.1.1 en un entorno de navegador, reconstruya sus paquetes para eliminar el malware. Verifique la integridad de sus billeteras de criptomonedas y transacciones recientes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Si vous suspectez que votre système est compromis, isolez-le immédiatement du réseau, faites pivoter toutes les informations d'identification et contactez un professionnel de la cybersécurité pour une évaluation et un nettoyage.
Oui, la version 2.1.2 contient la correction pour cette vulnérabilité. La mise à niveau est l'action la plus importante que vous puissiez entreprendre.
Utilisez le gestionnaire de paquets de votre système d'exploitation (npm, yarn, pip, etc.) pour lister les dépendances installées et rechercher 'color-string'.
Cela signifie qu'il n'existe pas d'enregistrement d'événement de sécurité (KEV) connu associé à cette vulnérabilité, ce qui rend la détection automatisée plus difficile.
Consultez les sources officielles de cybersécurité, telles que les avis de sécurité de votre fournisseur de logiciels et les bases de données de vulnérabilités telles que le NVD (National Vulnerability Database).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.