PT-2025-37745 · Npm · Color
Informatic
·
Publicado
2025-09-08
·
Atualizado
2025-09-20
·
CVE-2025-59143
CVSS v4.0
8.8
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:H/VA:N/SC:N/SI:N/SA:N/E:A/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:Red |
Nome do Software Vulnerável e Versões Afetadas
color versões 5.0.1
Descrição
A conta de publicação do npm para o pacote color foi comprometida após um ataque de phishing. A versão 5.0.1 foi publicada com um payload de malware projetado para redirecionar transações de criptomoedas dentro de ambientes de navegador. Ambientes locais, de servidor e de linha de comando não são afetados. O malware tem como alvo especificamente transações de criptomoedas e carteiras como a MetaMask.
Recomendações
Atualize para a versão 5.0.2.
Remova completamente o diretório
node modules.
Limpe o cache global do gerenciador de pacotes.
Reconstrua do zero quaisquer bundles do navegador.
Expurgue as versões comprometidas de quaisquer caches se estiver gerenciando registros privados ou espelhos de registro.Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Color