प्लेटफ़ॉर्म
nodejs
घटक
happy-dom
में ठीक किया गया
15.10.1
20.8.8
CVE-2026-33943 happy-dom में एक कोड इंजेक्शन भेद्यता है, जो हमलावर को रिमोट कोड निष्पादन (RCE) प्राप्त करने की अनुमति देती है। यह भेद्यता ECMAScriptModuleCompiler में मौजूद है। प्रभावित संस्करण 20.8.8 से पहले के हैं। संस्करण 20.8.8 में इस समस्या को ठीक कर दिया गया है।
CVE-2026-33943 happy-dom में रिमोट कोड एग्जीक्यूशन (RCE) का एक महत्वपूर्ण जोखिम प्रस्तुत करता है। ECMAScript मॉड्यूल कंपाइलर happy-dom द्वारा संसाधित ES मॉड्यूल स्क्रिप्ट में export { } घोषणाओं के भीतर इंजेक्ट किए गए कंटेंट को ठीक से सैनिटाइज नहीं करता है। यह एक हमलावर को मनमाना JavaScript एक्सप्रेशन इंजेक्ट करने की अनुमति देता है, जिसे संकलन प्रक्रिया के दौरान सीधे निष्पादित किया जाता है। उद्धरण फ़िल्टर द्वारा बैकटिक को हटाने में विफलता, टेम्पलेट लिटरल के उपयोग को सक्षम करती है, जिससे मौजूदा सुरक्षा उपायों को बायपास करना आसान हो जाता है। सफल शोषण हमलावर को एप्लिकेशन की सुरक्षा से समझौता करने, संवेदनशील डेटा तक अनधिकृत पहुंच प्राप्त करने या सिस्टम निष्पादन को नियंत्रित करने की अनुमति दे सकता है।
भेद्यता का फायदा happy-dom द्वारा संसाधित ES स्क्रिप्ट में export { } घोषणाओं में दुर्भावनापूर्ण JavaScript कोड इंजेक्ट करके उठाया जाता है। हमलावर इन स्क्रिप्ट की सामग्री को नियंत्रित कर सकता है, जिससे मनमाना कोड का निष्पादन संभव हो जाता है। इंजेक्ट किए गए कंटेंट के उचित सैनिटाइजेशन की कमी और उद्धरण फ़िल्टर में बैकटिक को हटाने में असमर्थता, टेम्पलेट लिटरल पेलोड बनाने की अनुमति देती है जो पहचान से बचते हैं। शोषण संदर्भ इस बात पर निर्भर करता है कि एप्लिकेशन में happy-dom का उपयोग कैसे किया जाता है, लेकिन इसमें आमतौर पर अविश्वसनीय स्रोतों से ES स्क्रिप्ट को संसाधित करना शामिल होता है।
Applications and services built on Node.js that utilize the happy-dom module for DOM manipulation or testing are at risk. This includes projects using happy-dom for server-side rendering, automated testing, or simulating browser environments. Projects relying on third-party libraries that transitively depend on vulnerable versions of happy-dom are also potentially affected.
• nodejs / server:
npm list happy-dom• nodejs / server:
npm audit happy-dom• nodejs / server: Check package.json for versions prior to 20.8.8. • nodejs / server: Examine application logs for errors related to ES module compilation or JavaScript execution originating from external sources.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.08% (24% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-33943 के लिए प्राथमिक शमन happy-dom को संस्करण 20.8.8 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो export { } घोषणाओं में इंजेक्ट किए गए कंटेंट को ठीक से सैनिटाइज करके भेद्यता को संबोधित करता है। इस बीच, एक अस्थायी उपाय के रूप में, अविश्वसनीय स्रोतों से ES स्क्रिप्ट को संसाधित करने से बचें। इसके अतिरिक्त, happy-dom के किसी भी संभावित उपयोग की पहचान करने के लिए कोड की जांच करें जो कमजोर हो सकता है, और happy-dom के साथ संसाधित करने से पहले उपयोगकर्ता द्वारा प्रदान किए गए सभी डेटा को मान्य और साफ़ करने के लिए अतिरिक्त इनपुट नियंत्रण लागू करें। इस जोखिम को कम करने के लिए पैच लागू करना और सुरक्षित कोडिंग प्रथाओं को अपनाना महत्वपूर्ण है।
Actualice a la versión 20.8.8 o superior. Esta versión corrige la vulnerabilidad de inyección de código en el ECMAScriptModuleCompiler.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
happy-dom एक JavaScript कार्यान्वयन है जो DOM और वेब ऑब्जेक्ट को लागू करता है, जिससे वास्तविक ब्राउज़र की आवश्यकता के बिना Node.js में एंड-टू-एंड परीक्षण करना संभव हो जाता है।
यदि आपका एप्लिकेशन happy-dom का उपयोग करता है और अविश्वसनीय स्रोतों से ES स्क्रिप्ट को संसाधित करता है, तो आप रिमोट कोड एग्जीक्यूशन के लिए कमजोर हो सकते हैं।
एक अस्थायी उपाय के रूप में, अविश्वसनीय स्रोतों से ES स्क्रिप्ट को संसाधित करने से बचें और संभावित कमजोर प्रवेश बिंदुओं के लिए अपने कोड की जांच करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है। मैनुअल कोड समीक्षा और पैचिंग सबसे अच्छे विकल्प हैं।
आप भेद्यता डेटाबेस (जैसे NVD (National Vulnerability Database)) और happy-dom के परिवर्तन लॉग में इस भेद्यता के बारे में अधिक जानकारी प्राप्त कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।