CVE-2025-59142 是一个针对 color-string 软件包的严重漏洞,该软件包已被恶意代码植入。这意味着攻击者可能获得对受影响系统的完全控制权,从而窃取敏感数据和密钥。该漏洞影响 color-string 版本小于或等于 2.1.1 的系统。2.1.2 版本已经发布修复此漏洞。
已在 'color-string' 包中识别出关键漏洞 (CVE-2025-59142)。此包已被破坏并包含恶意代码。此漏洞的严重程度为 CVSS 7.5。威胁源表明,安装或运行此包的任何系统都应被视为已完全破坏。这意味着攻击者可能获得对系统数据和资源的完全访问权限。立即采取措施减轻风险至关重要。恶意代码的存在可能允许攻击者窃取机密信息、安装其他恶意软件或控制系统。
'color-string' 包已被修改为包含恶意代码,从而允许攻击者破坏使用它的系统。威胁源表明,攻击者可以获得对受影响系统完全的控制权。这种类型的攻击特别危险,因为恶意代码可能隐藏在看似合法的包中,从而难以检测。恶意代码的性质未详细说明,但该漏洞的严重程度表明它可能造成重大损害。
Any Node.js project utilizing the color-string package, particularly those relying on it for color manipulation or formatting in command-line interfaces or web applications, are at risk. Developers using automated dependency management tools (npm, yarn) are especially vulnerable if they haven't implemented robust dependency auditing and security scanning practices. Shared hosting environments where multiple applications share the same Node.js runtime are also at increased risk.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object Name, Path• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter color-string.js | Select-Object FullName• generic web:
curl -I https://your-node-app.com/ | grep -i 'color-string'disclosure
patch
漏洞利用状态
EPSS
0.09% (25% 百分位)
CISA SSVC
主要缓解措施是从所有受影响的系统立即删除 'color-string' 包。在删除之前,使用干净安全的机器立即轮换受损系统上存储的所有凭据、API 密钥和机密信息至关重要。删除和轮换凭据后,建议对系统进行彻底分析,以检测任何持续的恶意活动。将所有其他包和依赖项更新到最新版本,以增强整体系统安全性。考虑实施入侵检测系统以监控可疑活动。
Actualice la dependencia color-string a la versión 2.1.2 o superior. Si utilizó la versión 2.1.1 en un entorno de navegador, reconstruya sus paquetes para eliminar el malware. Verifique la integridad de sus billeteras de criptomonedas y transacciones recientes.
漏洞分析和关键警报直接发送到您的邮箱。
如果您怀疑您的系统已被破坏,请立即将其与网络隔离,轮换所有凭据,并联系网络安全专业人员进行评估和清理。
是的,版本 2.1.2 包含此漏洞的修复程序。升级是您可以采取的最重要措施。
使用操作系统的包管理器 (npm、yarn、pip 等) 列出已安装的依赖项,并搜索 'color-string'。
这意味着与此漏洞相关联的已知安全事件记录 (KEV) 不存在,从而使自动检测更加困难。
请参阅软件供应商的安全公告以及 NVD (国家漏洞数据库) 等漏洞数据库等官方网络安全资源。