CRITICALCVE-2024-51757CVSS 9.5

<script>タグを介してサーバーサイドコードが実行されるhappy-domの脆弱性

Q: CVE-2024-51757 — RCE in happy-dom パッケージとは何ですか？

CVE-2024-51757 は、Node.js パッケージ happy-dom におけるリモートコード実行 (RCE) 脆弱性です。攻撃者はこの脆弱性を悪用して、サーバー上で任意のコードを実行できます。

Q: CVE-2024-51757 in happy-dom パッケージの影響は受けますか？

happy-dom パッケージのバージョン 15.10.2 以前を使用している場合は、影響を受けます。バージョン 15.10.2 以降にアップデートすることで、この脆弱性を修正できます。

Q: CVE-2024-51757 in happy-dom パッケージを修正するにはどうすればよいですか？

happy-dom パッケージをバージョン 15.10.2 以降にアップデートしてください。npm コマンドを使用すると簡単にアップデートできます: `npm install happy-dom@latest`。

Q: CVE-2024-51757 は積極的に悪用されていますか？

現時点では、公開されている悪用事例は確認されていませんが、脆弱性の重大度から、早期に悪用される可能性があります。

Q: CVE-2024-51757 の happy-dom パッケージの公式アドバイザリはどこで入手できますか？

公式アドバイザリは、happy-dom の GitHub リポジトリの issue #1585 で確認できます: https://github.com/capricorn86/happy-dom/issues/1585

プラットフォーム

nodejs

コンポーネント

happy-dom

修正版

15.10.3

15.10.2

AI Confidence: highNVDEPSS 0.7%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-51757 は、Node.js パッケージである happy-dom におけるリモートコード実行 (RCE) 脆弱性です。この脆弱性を悪用されると、攻撃者はサーバー上で任意のコードを実行する可能性があります。影響を受けるバージョンは 15.10.2 以前です。バージョン 15.10.2 へのアップデートにより、この脆弱性は修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者が happy-dom を使用するアプリケーションに悪意のある JavaScript コードを注入することを可能にします。成功した場合、攻撃者はサーバー上で任意のコマンドを実行し、機密情報を盗み出し、システムを完全に制御する可能性があります。特に、happy-dom をテスト環境や自動化スクリプトで使用している場合、攻撃のリスクが高まります。この脆弱性は、Node.js アプリケーションのセキュリティを著しく損なう可能性があります。

悪用の状況

この脆弱性は、2024年11月6日に公開されました。現時点では、公開されている PoC は確認されていませんが、脆弱性の重大度から、早期に悪用される可能性があります。CISA KEV カタログへの登録状況は不明です。攻撃者は、happy-dom を使用するアプリケーションの脆弱性をスキャンし、悪用を試みる可能性があります。

リスク対象者翻訳中…

Applications and systems utilizing happy-dom in their Node.js projects, particularly those involved in automated testing, server-side rendering, or any scenario where user-supplied input is processed by happy-dom, are at significant risk. Projects relying on older, unmaintained versions of happy-dom are especially vulnerable.

検出手順翻訳中…

• nodejs / server:

npm list happy-dom

This command will list the installed version of happy-dom. If the version is less than 15.10.2, the system is vulnerable. • nodejs / server:

npm audit

Run an npm audit to identify vulnerabilities in your project dependencies, including happy-dom. • nodejs / server: Inspect package.json for happy-dom dependency and check the version number.

攻撃タイムライン

2024-11-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.66% (71% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントhappy-dom

ベンダーosv

影響範囲修正版

< 15.10.2 – < 15.10.215.10.3

—15.10.2

弱点分類 (CWE)

CWE-94 CWE-79

タイムライン

予約済み2024-10-31
公開日2024-11-06
EPSS 更新日2026-04-02

公開後1日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、happy-dom をバージョン 15.10.2 以降にアップデートすることです。アップデートがすぐに利用できない場合、happy-dom を使用するアプリケーションの入力を厳密に検証し、悪意のあるコードの実行を防ぐためのセキュリティ対策を講じる必要があります。また、WAF (Web Application Firewall) を導入し、悪意のあるリクエストをブロックすることも有効です。アップデート後、アプリケーションを再起動し、脆弱性が修正されていることを確認してください。

修正方法

happy-domライブラリをバージョン15.10.2以降にアップデートしてください。これにより、`<script>`タグを介したサーバーサイドコード実行の脆弱性が修正されます。npmまたはyarnを使用してライブラリをアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-51757 — RCE in happy-dom パッケージとは何ですか？