Plataforma
nodejs
Componente
happy-dom
Corregido en
20.0.1
20.0.0
La vulnerabilidad CVE-2025-61927 es una falla de Ejecución Remota de Código (RCE) presente en happy-dom hasta la versión v19. Esta falla permite a un atacante escapar del contexto de la Máquina Virtual (VM) de Node.js y obtener acceso a funcionalidades a nivel de proceso. Afecta a aplicaciones Node.js que utilizan happy-dom, y se recomienda actualizar a la versión 20.0.0 o superior para solucionar el problema.
Un atacante que explote esta vulnerabilidad puede ejecutar código malicioso en el sistema donde se ejecuta la aplicación Node.js. Esto se logra al inyectar código JavaScript no confiable dentro del contexto de la VM de happy-dom. La capacidad de escapar de este contexto permite al atacante acceder a funciones a nivel de proceso, como la función require() en CommonJS, lo que le brinda un control significativo sobre el sistema. El impacto potencial incluye la ejecución de comandos arbitrarios, el robo de datos sensibles y el compromiso completo del sistema. La severidad CRÍTICA (CVSS 9.5) refleja el alto riesgo asociado con esta vulnerabilidad.
La vulnerabilidad CVE-2025-61927 fue publicada el 10 de octubre de 2025. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la redacción. No se han reportado campañas de explotación activas conocidas públicamente. La existencia de un vector de escape de VM Context sugiere un potencial de explotación significativo, especialmente en entornos donde se procesa código JavaScript no confiable. Se recomienda monitorear de cerca las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada.
Applications and services utilizing Happy DOM for server-side rendering or testing are at risk. This includes projects that dynamically generate content or execute JavaScript code within a Happy DOM context. Developers using older versions of Happy DOM in their Node.js projects, particularly those handling untrusted user input, are especially vulnerable.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq 'node'} | Select-Object -ExpandProperty CommandLine• nodejs / supply-chain:
Get-WinEvent -LogName Application -FilterXPath "*[System[Provider[@Name='HappyDOM']]]" -MaxEvents 10• generic web:
curl -I https://your-website.com/ | grep -i 'happy-dom'disclosure
Estado del Exploit
EPSS
0.35% (57% percentil)
CISA SSVC
La mitigación principal para CVE-2025-61927 es actualizar happy-dom a la versión 20.0.0 o superior, donde se ha solucionado la vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como restringir el acceso a la aplicación Node.js y validar cuidadosamente cualquier código JavaScript que se ejecute dentro de happy-dom. Además, revise los permisos del proceso Node.js para minimizar el impacto potencial de una explotación exitosa. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta ejecutando pruebas de seguridad y revisando los registros de la aplicación en busca de actividades sospechosas.
Actualice la dependencia happy-dom a la versión 20.0.0 o superior. Esto deshabilitará la evaluación de JavaScript por defecto, mitigando el riesgo de ejecución remota de código. Si necesita la funcionalidad de evaluación de JavaScript, asegúrese de validar y desinfectar cuidadosamente cualquier código no confiable antes de ejecutarlo.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-61927 is a critical Remote Code Execution vulnerability in Happy DOM versions 19 and below. It allows attackers to escape the VM Context and execute arbitrary code on the host system.
You are affected if you are using Happy DOM version 19 or earlier. Check your project dependencies to determine if you are using a vulnerable version.
Upgrade to Happy DOM version 20.0.0 or later to mitigate this vulnerability. Ensure your package manager is updated to retrieve the latest version.
While no active exploitation has been confirmed, the vulnerability's severity and ease of exploitation suggest a potential for active campaigns. Continuous monitoring is recommended.
Refer to the Happy DOM project's official repository and release notes for the advisory and further details: [https://github.com/happy-dom/happy-dom](https://github.com/happy-dom/happy-dom)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.