Plataforma
nodejs
Componente
color-string
Corrigido em
2.1.2
2.1.2
A vulnerabilidade CVE-2025-59142 refere-se a um comprometimento do pacote 'color-string', onde código malicioso foi adicionado. Essa invasão resulta em um comprometimento total do sistema, permitindo que um agente externo obtenha controle sobre a máquina. As versões afetadas incluem aquelas menores ou iguais a 2.1.1, e uma correção foi disponibilizada na versão 2.1.2.
Uma vulnerabilidade crítica (CVE-2025-59142) foi identificada no pacote 'color-string'. Este pacote foi comprometido e contém código malicioso. A severidade desta vulnerabilidade é CVSS 7.5. A fonte da ameaça indica que qualquer sistema que tenha este pacote instalado ou em execução deve ser considerado totalmente comprometido. Isso significa que um atacante pode ter acesso total aos dados e recursos do sistema. É imperativo tomar medidas imediatas para mitigar o risco. A presença deste código malicioso pode permitir que atacantes roubem informações confidenciais, instalem malware adicional ou assumam o controle do sistema.
O pacote 'color-string' foi manipulado para incluir código malicioso, permitindo que atacantes comprometam sistemas que o utilizam. A fonte da ameaça indica que o atacante pode obter controle total sobre o sistema afetado. Este tipo de ataque é particularmente perigoso porque o código malicioso pode estar oculto dentro de um pacote aparentemente legítimo, dificultando sua detecção. A natureza do código malicioso não foi especificada em detalhes, mas a severidade da vulnerabilidade sugere que é capaz de causar danos significativos.
Any Node.js project utilizing the color-string package, particularly those relying on it for color manipulation or formatting in command-line interfaces or web applications, are at risk. Developers using automated dependency management tools (npm, yarn) are especially vulnerable if they haven't implemented robust dependency auditing and security scanning practices. Shared hosting environments where multiple applications share the same Node.js runtime are also at increased risk.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object Name, Path• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter color-string.js | Select-Object FullName• generic web:
curl -I https://your-node-app.com/ | grep -i 'color-string'disclosure
patch
Status do Exploit
EPSS
0.09% (percentil 25%)
CISA SSVC
A principal mitigação é a remoção imediata do pacote 'color-string' de todos os sistemas afetados. Antes de removê-lo, é crucial rodar imediatamente todas as credenciais, chaves de API e segredos armazenados no sistema comprometido, utilizando uma máquina limpa e segura. Após a remoção e rotação de credenciais, recomenda-se realizar uma análise abrangente do sistema para detectar qualquer atividade maliciosa persistente. Atualize todos os outros pacotes e dependências para suas versões mais recentes para fortalecer a segurança geral do sistema. Considere implementar um sistema de detecção de intrusão para monitorar a atividade suspeita.
Actualice la dependencia color-string a la versión 2.1.2 o superior. Si utilizó la versión 2.1.1 en un entorno de navegador, reconstruya sus paquetes para eliminar el malware. Verifique la integridad de sus billeteras de criptomonedas y transacciones recientes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Se você suspeitar que seu sistema está comprometido, isole-o imediatamente da rede, rode todas as credenciais e entre em contato com um profissional de segurança cibernética para avaliação e limpeza.
Sim, a versão 2.1.2 contém a correção para esta vulnerabilidade. A atualização é a ação mais importante que você pode tomar.
Use o gerenciador de pacotes do seu sistema operacional (npm, yarn, pip, etc.) para listar as dependências instaladas e procurar por 'color-string'.
Significa que não há um registro de evento de segurança (KEV) conhecido associado a esta vulnerabilidade, dificultando a detecção automatizada.
Consulte fontes oficiais de segurança cibernética, como os avisos de segurança do seu fornecedor de software e as bases de dados de vulnerabilidades como o NVD (National Vulnerability Database).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.