Plattform
nodejs
Komponente
happy-dom
Behoben in
15.10.1
20.8.8
CVE-2026-33943 describes a code injection vulnerability within the ECMAScriptModuleCompiler of happy-dom. This flaw allows a remote attacker to achieve Remote Code Execution (RCE) by injecting arbitrary JavaScript expressions into export { } declarations within ES module scripts processed by happy-dom. The vulnerability affects versions prior to 20.8.8 and is resolved in version 20.8.8.
Die CVE-2026-33943-Schwachstelle in happy-dom stellt ein erhebliches Risiko für die Remote Code Execution (RCE) dar. Der ECMAScript Module Compiler desinfiziert den in export { }-Deklarationen in ES-Modulskripten, die von happy-dom verarbeitet werden, injizierten Inhalt nicht ordnungsgemäß. Dies ermöglicht es einem Angreifer, beliebige JavaScript-Ausdrücke einzuschleusen, die während des Kompilierungsprozesses direkt ausgeführt werden. Das Versäumnis, Backticks durch den Anführungszeichenfilter zu entfernen, ermöglicht die Verwendung von Template-Literalen, was die Umgehung bestehender Sicherheitsmaßnahmen erleichtert. Eine erfolgreiche Ausnutzung könnte es einem Angreifer ermöglichen, die Sicherheit der Anwendung zu kompromittieren, potenziell unbefugten Zugriff auf sensible Daten zu erlangen oder die Systemausführung zu steuern.
Die Schwachstelle wird ausgenutzt, indem bösartiger JavaScript-Code in export { }-Deklarationen in ES-Skripten injiziert wird, die von happy-dom verarbeitet werden. Der Angreifer kann den Inhalt dieser Skripte steuern, was die Ausführung von beliebigem Code ermöglicht. Das Fehlen einer ordnungsgemäßen Desinfektion des injizierten Inhalts und die Unfähigkeit, Backticks im Anführungszeichenfilter zu entfernen, ermöglichen die Erstellung von Template-Literal-Payloads, die die Erkennung umgehen. Der Ausnutzungskontext hängt davon ab, wie happy-dom in der Anwendung verwendet wird, umfasst aber im Allgemeinen die Verarbeitung von ES-Skripten aus nicht vertrauenswürdigen Quellen.
Applications and services built on Node.js that utilize the happy-dom module for DOM manipulation or testing are at risk. This includes projects using happy-dom for server-side rendering, automated testing, or simulating browser environments. Projects relying on third-party libraries that transitively depend on vulnerable versions of happy-dom are also potentially affected.
• nodejs / server:
npm list happy-dom• nodejs / server:
npm audit happy-dom• nodejs / server: Check package.json for versions prior to 20.8.8. • nodejs / server: Examine application logs for errors related to ES module compilation or JavaScript execution originating from external sources.
disclosure
Exploit-Status
EPSS
0.08% (24% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abschwächung für CVE-2026-33943 ist das Upgrade auf Version 20.8.8 oder höher von happy-dom. Diese Version enthält eine Korrektur, die die Schwachstelle behebt, indem der in export { }-Deklarationen injizierte Inhalt ordnungsgemäß desinfiziert wird. In der Zwischenzeit vermeiden Sie als vorübergehende Maßnahme die Verarbeitung von ES-Skripten aus nicht vertrauenswürdigen Quellen. Überprüfen Sie außerdem den Code, um festzustellen, ob happy-dom auf eine Weise verwendet wird, die anfällig sein könnte, und wenden Sie zusätzliche Eingabesteuerungen an, um alle vom Benutzer bereitgestellten Daten zu validieren und zu bereinigen, bevor Sie diese mit happy-dom verarbeiten. Das Anwenden von Patches und die Einführung sicherer Codierungspraktiken sind entscheidend, um dieses Risiko zu mindern.
Actualice a la versión 20.8.8 o superior. Esta versión corrige la vulnerabilidad de inyección de código en el ECMAScriptModuleCompiler.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Happy-dom ist eine JavaScript-Implementierung von DOM und Webobjekten, die es ermöglicht, End-to-End-Tests in Node.js auszuführen, ohne dass ein echter Browser erforderlich ist.
Wenn Ihre Anwendung happy-dom verwendet und ES-Skripte aus nicht vertrauenswürdigen Quellen verarbeitet, sind Sie möglicherweise anfällig für die Remote Code Execution.
Als vorübergehende Maßnahme vermeiden Sie die Verarbeitung von ES-Skripten aus nicht vertrauenswürdigen Quellen und überprüfen Sie Ihren Code auf potenzielle anfällige Einstiegspunkte.
Derzeit gibt es keine speziellen Tools, um diese Schwachstelle zu erkennen. Die manuelle Codeüberprüfung und das Anwenden von Patches sind die besten Optionen.
Sie können weitere Informationen über diese Schwachstelle in Schwachstellendatenbanken wie der NVD (National Vulnerability Database) und in den Änderungsprotokollen von happy-dom finden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.