Plateforme
nodejs
Composant
happy-dom
Corrigé dans
20.8.10
La vulnérabilité CVE-2026-34226 concerne une fuite de cookies dans happy-dom. Lorsque fetch(..., { credentials: "include" }) est utilisé, happy-dom peut attacher des cookies de l'origine de la page actuelle au lieu de la cible de la requête. Le correctif est disponible dans la version 20.8.9.
Cette vulnérabilité dans Happy DOM, affectant les versions antérieures à 20.8.9, permet une fuite potentielle de cookies entre différents domaines. Imaginons un scénario où une application web, utilisant Happy DOM pour des tests automatisés ou pour simuler un navigateur, effectue une requête fetch(..., { credentials: "include" }) vers un autre domaine. Normalement, les cookies associés à la requête devraient être ceux du domaine cible. Cependant, avec cette vulnérabilité, Happy DOM peut attacher les cookies du domaine d'origine de la page actuelle (window.location) à cette requête. Cela signifie qu'un site malveillant (domaine B) pourrait, en effectuant une requête via Happy DOM (domaine A), accéder à des cookies sensibles qui lui seraient normalement inaccessibles. Les données à risque incluent les cookies de session, les tokens d'authentification et toute autre information sensible stockée dans les cookies. Le rayon d'impact est limité aux applications utilisant Happy DOM et qui effectuent des requêtes avec credentials: "include". L'exploitation réussie pourrait permettre à un attaquant de compromettre l'authentification d'un utilisateur, d'accéder à des données sensibles ou de réaliser d'autres actions malveillantes au nom de l'utilisateur.
À ce jour, il n'existe pas de rapports publics d'exploitation de cette vulnérabilité (KEV). Il n'existe pas non plus de preuve d'exploitation (POC) publiquement disponible. Cependant, la vulnérabilité est classée comme de haute gravité (CVSS score de 7.5), ce qui indique un risque potentiel significatif. Bien qu'il n'y ait pas d'exploitation active connue, il est important de prendre des mesures correctives rapidement pour se prémunir contre une éventuelle exploitation future. L'absence de POC publique ne signifie pas que la vulnérabilité ne peut pas être exploitée, mais simplement qu'elle n'a pas encore été rendue publique. La priorité doit être donnée à la mise à jour vers la version corrigée.
Applications utilizing Happy DOM for headless browser automation, particularly those involved in web scraping, testing, or automated form filling, are at risk. This includes developers and organizations using Happy DOM as a component in their CI/CD pipelines or for automated user interactions.
• nodejs: Use npm audit to check for vulnerable versions of Happy DOM.
npm audit happy-dom@<=20.8.9• nodejs: Inspect application code for usage of fetch with credentials: "include". Search for patterns like fetch(..., { credentials: "include" }).
• generic web: Review application logs for unusual cross-origin requests that might indicate cookie leakage. Monitor for unexpected cookies being sent to third-party domains.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La solution la plus simple et recommandée est de mettre à niveau Happy DOM vers la version 20.8.9 ou supérieure. Cette version corrige la vulnérabilité en garantissant que les cookies appropriés sont attachés aux requêtes fetch. Si une mise à niveau n'est pas immédiatement possible, il n'existe pas de contournement direct pour empêcher ce comportement incorrect. Il est fortement conseillé d'éviter l'utilisation de credentials: "include" dans les requêtes fetch effectuées via Happy DOM, à moins que cela ne soit absolument nécessaire et que les risques soient soigneusement évalués. Après la mise à niveau, il est important de vérifier que les cookies sont correctement attachés aux requêtes fetch en effectuant des tests ciblés. Par exemple, vous pouvez inspecter les en-têtes de requête HTTP pour confirmer que les cookies attendus sont présents et que les cookies incorrects ne sont pas inclus. La validation doit être effectuée dans un environnement de test avant d'être appliquée en production.
Actualice la versión de Happy DOM a la 20.8.9 o superior. Esto corregirá la vulnerabilidad que permite la fuga de cookies entre orígenes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34226 is a high-severity vulnerability in Happy DOM versions up to 20.8.9 that allows cookies to be leaked to unintended origins when using fetch with credentials: "include".
You are affected if you are using Happy DOM version 20.8.9 or earlier and your application uses the fetch API with credentials: "include".
Upgrade to Happy DOM version 20.8.9 or later. If immediate upgrade is not possible, implement stricter origin validation in your application.
There is no current evidence of active exploitation, but the vulnerability's nature suggests potential for exploitation and PoC development.
Refer to the Happy DOM project's repository and release notes for the official advisory and details on the fix: [https://github.com/happy-dom/happy-dom](https://github.com/happy-dom/happy-dom)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.