प्लेटफ़ॉर्म
nodejs
घटक
happy-dom
में ठीक किया गया
20.8.10
CVE-2026-34226 Happy DOM में एक कुकी लीक भेद्यता है। fetch(..., { credentials: "include" }) का उपयोग करते समय, यह वर्तमान पृष्ठ मूल से कुकीज़ संलग्न कर सकता है, जिससे कुकीज़ लीक हो सकती हैं। यह भेद्यता संस्करण 20.8.9 से पहले के संस्करणों को प्रभावित करती है। संस्करण 20.8.9 में इस समस्या को ठीक कर दिया गया है।
हैप्पी डोम एक जावास्क्रिप्ट कार्यान्वयन है जो वेब ब्राउज़र का ग्राफिकल यूजर इंटरफेस के बिना प्रतिनिधित्व करता है। CVE-2026-34226 एक गंभीर भेद्यता है जो तब उत्पन्न होती है जब fetch(..., { credentials: "include" }) का उपयोग किया जाता है। संस्करण 20.8.9 से पहले, हैप्पी डोम वर्तमान पृष्ठ के मूल (window.location) से कुकीज़ को अनुरोध लक्ष्य URL के बजाय संलग्न कर सकता है। इसका मतलब है कि एक दुर्भावनापूर्ण वेबसाइट (मूल A) किसी अन्य वेबसाइट (गंतव्य B) पर अनुरोध करते समय, वह मूल A से कुकीज़ को अनजाने में गंतव्य B को भेज सकती है। यह क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों या अन्य शोषण परिदृश्यों के माध्यम से हो सकता है जहां हमलावर उपयोगकर्ता को गंतव्य B पर अनुरोध करने के लिए प्रेरित करता है, जिससे कुकीज़ लीक हो जाती हैं। जोखिम में संवेदनशील जानकारी शामिल हो सकती है, जैसे कि सत्र कुकीज़, प्रमाणीकरण टोकन या अन्य व्यक्तिगत डेटा। इस भेद्यता का 'ब्लास्ट रेडियस' व्यापक हो सकता है, क्योंकि यह उन सभी अनुप्रयोगों को प्रभावित कर सकता है जो हैप्पी डोम का उपयोग करते हैं और credentials: "include" के साथ fetch का उपयोग करते हैं। यदि कुकीज़ में संवेदनशील जानकारी होती है, तो हमलावर उपयोगकर्ता के खाते को हाईजैक कर सकता है या अन्य दुर्भावनापूर्ण गतिविधियाँ कर सकता है।
वर्तमान में, CVE-2026-34226 के लिए कोई सार्वजनिक शोषण रिपोर्ट या प्रूफ-ऑफ-कॉन्सेप्ट (POC) उपलब्ध नहीं हैं। इसका मतलब है कि इस भेद्यता का सक्रिय रूप से शोषण किए जाने की संभावना कम है। हालांकि, इसका मतलब यह नहीं है कि यह भेद्यता जोखिम मुक्त है। हमलावर हमेशा नई शोषण तकनीकों की खोज कर सकते हैं। चूंकि भेद्यता की गंभीरता उच्च (7.5 CVSS स्कोर) है, इसलिए इसे जल्द से जल्द ठीक करना महत्वपूर्ण है। इस भेद्यता की खोज के बाद से कोई सार्वजनिक शोषण नहीं देखा गया है, लेकिन सुरक्षा शोधकर्ताओं द्वारा सक्रिय रूप से इसकी निगरानी की जा रही है। इस भेद्यता को कम करने के लिए जल्द से जल्द पैच लागू करने की अनुशंसा की जाती है।
Applications utilizing Happy DOM for headless browser automation, particularly those involved in web scraping, testing, or automated form filling, are at risk. This includes developers and organizations using Happy DOM as a component in their CI/CD pipelines or for automated user interactions.
• nodejs: Use npm audit to check for vulnerable versions of Happy DOM.
npm audit happy-dom@<=20.8.9• nodejs: Inspect application code for usage of fetch with credentials: "include". Search for patterns like fetch(..., { credentials: "include" }).
• generic web: Review application logs for unusual cross-origin requests that might indicate cookie leakage. Monitor for unexpected cookies being sent to third-party domains.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34226 को ठीक करने का सबसे सीधा तरीका है हैप्पी डोम को संस्करण 20.8.9 या बाद के संस्करण में अपग्रेड करना। यह सुनिश्चित करेगा कि कुकीज़ सही URL से संलग्न हैं और डेटा लीक का जोखिम कम हो गया है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, credentials: "include" का उपयोग करने वाले fetch अनुरोधों को अस्थायी रूप से अक्षम करने या सीमित करने पर विचार करें। यह उन क्षेत्रों में जोखिम को कम कर सकता है जहां यह सुविधा आवश्यक नहीं है। अपग्रेड के बाद, यह सत्यापित करना महत्वपूर्ण है कि कुकीज़ सही ढंग से संलग्न हैं। आप ब्राउज़र डेवलपर टूल्स का उपयोग करके नेटवर्क ट्रैफ़िक का निरीक्षण कर सकते हैं और सुनिश्चित कर सकते हैं कि कुकीज़ सही URL से भेजी जा रही हैं। यह सुनिश्चित करने के लिए नियमित सुरक्षा स्कैन और भेद्यता मूल्यांकन भी महत्वपूर्ण हैं कि आपके एप्लिकेशन में कोई अन्य ज्ञात भेद्यताएं नहीं हैं।
Actualice la versión de Happy DOM a la 20.8.9 o superior. Esta versión corrige la vulnerabilidad que permite la fuga de cookies entre orígenes al usar la función `fetch` con la opción `credentials: 'include'`.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34226 हैप्पी डोम में एक भेद्यता है जो fetch अनुरोधों के माध्यम से कुकीज़ को गलत URL से संलग्न करने की अनुमति दे सकती है, जिससे डेटा लीक हो सकता है।
यदि आप हैप्पी डोम के संस्करण 20.8.9 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हो सकते हैं।
CVE-2026-34226 को ठीक करने के लिए, हैप्पी डोम को संस्करण 20.8.9 या बाद के संस्करण में अपग्रेड करें।
वर्तमान में, CVE-2026-34226 के लिए कोई सार्वजनिक शोषण रिपोर्ट या प्रूफ-ऑफ-कॉन्सेप्ट उपलब्ध नहीं हैं।
आप इस भेद्यता के बारे में अधिक जानकारी के लिए नेशनल वल्नेरेबिलिटी डेटाबेस (NVD) या विक्रेता की सलाह पर जा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।