发布日期：2025-09-15
更新日期：2025-11-27

受影响系统：

Colorado color-name 2.0.1

描述：

---

CVE(CAN) ID: CVE-2025-59145

color-name是color.js开源的一个JavaScript库。
color-name 2.0.1版本存在代码注入漏洞，该漏洞源于color-name的npm发布账户因遭受钓鱼攻击被恶意接管且被植入恶意软件载荷，攻击者可利用该漏洞将加密货币交易重定向至其指定地址。

<**>

建议：

---

厂商补丁：

Colorado
--------
厂商尚未提供漏洞修复方案，请关注厂商主页更新：
https://socket.dev/blog/npm-author-qix-compromised-in-major-supply-chain-attack

浏览次数：14
严重程度：0（网友投票）