Plateforme
nodejs
Composant
happy-dom
Corrigé dans
15.10.3
15.10.2
La vulnérabilité CVE-2024-51757 est une faille d'exécution de code à distance (RCE) critique affectant le paquet Node.js happy-dom. Cette vulnérabilité permet à un attaquant d'exécuter du code arbitraire sur le système. Elle touche les versions antérieures à 15.10.2. Une correction a été déployée dans la version 15.10.2.
Cette vulnérabilité permet à un attaquant d'injecter et d'exécuter du code malveillant au sein d'applications Node.js qui utilisent happy-dom. L'attaquant pourrait exploiter cette faille en manipulant les données traitées par happy-dom, ce qui entraînerait l'exécution de commandes système non autorisées. Le vecteur d'attaque pourrait être une requête HTTP malformée ou une manipulation de données côté client. La compromission d'une application utilisant happy-dom pourrait permettre à l'attaquant de prendre le contrôle complet du serveur, d'accéder à des données sensibles, ou de lancer d'autres attaques contre le réseau interne.
Cette vulnérabilité a été rendue publique le 6 novembre 2024. Il n'y a pas d'indications d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. La probabilité d'exploitation est considérée comme élevée en raison de la sévérité critique de la vulnérabilité et de la disponibilité potentielle de preuves de concept (PoC). Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles mises à jour concernant l'exploitation active.
Applications and systems utilizing happy-dom in their Node.js projects, particularly those involved in automated testing, server-side rendering, or any scenario where user-supplied input is processed by happy-dom, are at significant risk. Projects relying on older, unmaintained versions of happy-dom are especially vulnerable.
• nodejs / server:
npm list happy-domThis command will list the installed version of happy-dom. If the version is less than 15.10.2, the system is vulnerable. • nodejs / server:
npm auditRun an npm audit to identify vulnerabilities in your project dependencies, including happy-dom.
• nodejs / server:
Inspect package.json for happy-dom dependency and check the version number.
disclosure
Statut de l'Exploit
EPSS
0.66% (percentile 71%)
CISA SSVC
La mitigation principale consiste à mettre à jour le paquet happy-dom vers la version 15.10.2 ou supérieure. En l'absence de possibilité de mise à jour immédiate, il n'existe pas de contournement simple connu. Il est crucial d'évaluer l'impact de la mise à jour sur l'application et de planifier une transition en douceur. En attendant, une surveillance accrue des journaux d'activité et des tentatives d'accès non autorisées est recommandée. Des règles WAF peuvent être configurées pour bloquer les requêtes suspectes, mais leur efficacité est limitée sans une compréhension approfondie du vecteur d'attaque.
Mettez à jour la bibliothèque happy-dom à la version 15.10.2 ou supérieure. Cela résoudra la vulnérabilité permettant l'exécution de code côté serveur via la balise `<script>`. Vous pouvez mettre à jour la bibliothèque en utilisant npm ou yarn.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-51757 is a critical Remote Code Execution (RCE) vulnerability in the happy-dom Node.js package, allowing attackers to execute arbitrary code. It has a CVSS score of 9.5.
You are affected if you are using a version of happy-dom prior to 15.10.2. Check your project dependencies immediately.
Upgrade the happy-dom package to version 15.10.2 or later using npm or yarn. There are no known workarounds.
While no active exploitation campaigns have been publicly reported, the critical severity suggests a high probability of exploitation if left unpatched.
Refer to the GitHub issue [#1585](https://github.com/capricorn86/happy-dom/issues/1585) for details and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.