Уязвимость BDU:2026-00172

Идентификатор: BDU:2026-00172.

Наименование уязвимости: Уязвимость библиотеки для синтаксического анализа и генерации строк CSS Color-String, связанная с наличием недекларированных возможностей, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость библиотеки для синтаксического анализа и генерации строк CSS Color-String связана с наличием недекларированных возможностей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Сетевое средство, Прикладное ПО информационных систем, Сетевое программное средство Node.js Foundation Color-String 2.1.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 08.09.2025.
CVSS 2.0: AV:N/AC:L/Au:N/C:P/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,2)
Высокий уровень опасности (оценка CVSS 4.0 составляет 8,8)

Возможные меры по устранению:
Использование рекомендаций производителя:
https://github.com/Qix-/color-string/security/advisories/GHSA-286p-vc9p-p5qv
https://github.com/debug-js/debug/issues/1005.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2025-59142. GHSA-286p-vc9p-p5qv.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/Qix-/color-string/security/advisories/GHSA-286p-vc9p-p5qv
https://github.com/debug-js/debug/issues/1005
https://www.aikido.dev/blog/npm-debug-and-chalk-packages-compromised
https://socket.dev/blog/npm-author-qix-compromised-in-major-supply-chain-attack
https://www.ox.security/blog/npm-packages-compromised/
https://bsky.app/profile/bad-at-computer.bsky.social