Plataforma
nodejs
Componente
happy-dom
Corregido en
15.10.3
15.10.2
La vulnerabilidad CVE-2024-51757 es una falla de ejecución remota de código (RCE) que afecta al paquete NPM happy-dom. Esta vulnerabilidad permite a un atacante inyectar código malicioso en el entorno de ejecución. Afecta a versiones anteriores a la 15.10.2. Se recomienda actualizar inmediatamente a la versión 15.10.2 para solucionar este problema.
La gravedad de esta vulnerabilidad radica en su potencial para permitir la ejecución remota de código. Un atacante podría explotar esta falla para ejecutar comandos arbitrarios en el servidor donde se está utilizando happy-dom, comprometiendo la confidencialidad, integridad y disponibilidad del sistema. La inyección de código podría llevar al robo de datos sensibles, la modificación de la configuración del sistema o incluso el control total del servidor. La falta de workarounds conocidos agrava el impacto, haciendo que la actualización sea la única solución viable.
Esta vulnerabilidad fue descubierta y divulgada públicamente el 6 de noviembre de 2024. Actualmente no se conoce si esta vulnerabilidad está siendo activamente explotada en la naturaleza, pero la alta puntuación CVSS (9.5) indica un alto riesgo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Applications and systems utilizing happy-dom in their Node.js projects, particularly those involved in automated testing, server-side rendering, or any scenario where user-supplied input is processed by happy-dom, are at significant risk. Projects relying on older, unmaintained versions of happy-dom are especially vulnerable.
• nodejs / server:
npm list happy-domThis command will list the installed version of happy-dom. If the version is less than 15.10.2, the system is vulnerable. • nodejs / server:
npm auditRun an npm audit to identify vulnerabilities in your project dependencies, including happy-dom.
• nodejs / server:
Inspect package.json for happy-dom dependency and check the version number.
disclosure
Estado del Exploit
EPSS
0.66% (71% percentil)
CISA SSVC
La mitigación principal para CVE-2024-51757 es actualizar el paquete happy-dom a la versión 15.10.2 o superior. Dado que no existen workarounds fáciles, la actualización es esencial. Antes de actualizar, se recomienda realizar una copia de seguridad del proyecto y probar la actualización en un entorno de desarrollo para evitar posibles incompatibilidades. Después de la actualización, verifique que happy-dom se haya actualizado correctamente ejecutando npm list happy-dom para confirmar la versión instalada.
Actualice la biblioteca (library) happy-dom a la versión 15.10.2 o superior. Esto solucionará la vulnerabilidad que permite la ejecución de código del lado del servidor a través de la etiqueta (tag) `<script>`. Puede actualizar la biblioteca utilizando npm o yarn.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-51757 is a critical Remote Code Execution (RCE) vulnerability in the happy-dom Node.js package, allowing attackers to execute arbitrary code. It has a CVSS score of 9.5.
You are affected if you are using a version of happy-dom prior to 15.10.2. Check your project dependencies immediately.
Upgrade the happy-dom package to version 15.10.2 or later using npm or yarn. There are no known workarounds.
While no active exploitation campaigns have been publicly reported, the critical severity suggests a high probability of exploitation if left unpatched.
Refer to the GitHub issue [#1585](https://github.com/capricorn86/happy-dom/issues/1585) for details and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.