हैप्पी-डोम एक <script> टैग के माध्यम से सर्वर साइड कोड के निष्पादन की अनुमति देता है

CVE-2024-51757 भेद्यता का शोषण करने वाला हमलावर happy-dom के माध्यम से मनमाना कोड निष्पादित कर सकता है। इसका मतलब है कि वे सिस्टम पर नियंत्रण प्राप्त कर सकते हैं, संवेदनशील डेटा चुरा सकते हैं, या दुर्भावनापूर्ण सॉफ़्टवेयर स्थापित कर सकते हैं। इस भेद्यता का उपयोग अन्य प्रणालियों में आगे बढ़ने के लिए भी किया जा सकता है, जिससे हमलावर के नियंत्रण में नेटवर्क का एक बड़ा हिस्सा आ सकता है। चूंकि happy-dom का उपयोग कई वेब अनुप्रयोगों में किया जाता है, इसलिए इस भेद्यता का व्यापक प्रभाव हो सकता है।

Applications and systems utilizing happy-dom in their Node.js projects, particularly those involved in automated testing, server-side rendering, or any scenario where user-supplied input is processed by happy-dom, are at significant risk. Projects relying on older, unmaintained versions of happy-dom are especially vulnerable.

• nodejs / server:

npm list happy-dom

This command will list the installed version of happy-dom. If the version is less than 15.10.2, the system is vulnerable. • nodejs / server:

npm audit

Run an npm audit to identify vulnerabilities in your project dependencies, including happy-dom. • nodejs / server: Inspect package.json for happy-dom dependency and check the version number.

1. 2024-11-06Disclosure

   disclosure

1. आरक्षित2024-10-31
2. प्रकाशित2024-11-06
3. EPSS अद्यतन2026-04-02

CVE-2024-51757 के लिए प्राथमिक शमन उपाय happy-dom को संस्करण 15.10.2 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो कोई आसान वर्कअराउंड उपलब्ध नहीं है। सुनिश्चित करें कि आपके वेब एप्लिकेशन और निर्भरताएँ नवीनतम सुरक्षा पैच के साथ अपडेट रहें। नियमित रूप से सुरक्षा स्कैन चलाएं और किसी भी संदिग्ध गतिविधि की निगरानी करें।