HIGHCVE-2026-33943CVSS 8.8

Happy DOM ECMAScriptModuleCompiler: サニタイズされていないエクスポート名が実行可能コードとして補間されます

Q: CVE-2026-33943 とは何ですか？（happy-dom の Remote Code Execution (RCE)）

happy-dom は、実際のブラウザを必要とせずに Node.js でエンドツーエンドテストを実行できる DOM および Web オブジェクトの JavaScript 実装です。

Q: happy-dom の CVE-2026-33943 による影響を受けていますか？

アプリケーションで happy-dom を使用し、信頼できないソースからの ES スクリプトを処理している場合、リモートコード実行の脆弱性がある可能性があります。

Q: happy-dom の CVE-2026-33943 を修正するにはどうすればよいですか？

一時的な措置として、信頼できないソースからの ES スクリプトの処理を避け、潜在的な脆弱なエントリポイントがないかコードを確認してください。

Q: CVE-2026-33943 は積極的に悪用されていますか？

現在、この脆弱性を検出するための特定のツールはありません。手動によるコードレビューとパッチ適用が最良のオプションです。

Q: CVE-2026-33943 に関する happy-dom の公式アドバイザリはどこで確認できますか？

この脆弱性に関するより多くの情報は、NVD (National Vulnerability Database) などの脆弱性データベースと happy-dom の変更ログで入手できます。

プラットフォーム

nodejs

コンポーネント

happy-dom

修正版

15.10.1

20.8.8

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33943 は、Happy DOM に存在する RCE (Remote Code Execution) の脆弱性です。攻撃者は、JavaScript 式を注入して任意のコードを実行できます。影響を受けるバージョンは 15.10.0 から 20.8.7 です。この問題はバージョン 20.8.8 で修正されました。

影響と攻撃シナリオ

CVE-2026-33943 は、happy-dom におけるリモートコード実行 (RCE) のリスクをもたらします。ECMAScript モジュールコンパイラは、happy-dom によって処理される ES モジュールスクリプト内の export { } 宣言内に挿入されたコンテンツを適切にサニタイズしません。これにより、攻撃者はコンパイルプロセス中に直接実行される任意の JavaScript 式を挿入できるようになります。引用符フィルターによるバッククォートの削除の失敗により、テンプレートリテラルが使用可能になり、既存のセキュリティ対策を回避しやすくなります。攻撃が成功すると、攻撃者はアプリケーションのセキュリティを侵害し、機密データへの不正アクセスを獲得したり、システム実行を制御したりする可能性があります。

悪用の状況

この脆弱性は、happy-dom によって処理される ES スクリプト内の export { } 宣言に悪意のある JavaScript コードを挿入することで悪用されます。攻撃者はこれらのスクリプトの内容を制御できるため、任意のコードの実行が可能になります。挿入されたコンテンツの適切なサニタイズの欠如と、引用符フィルターにおけるバッククォートの削除の不可能性により、検出を回避するテンプレートリテラルペイロードの作成が可能になります。悪用コンテキストは、アプリケーションでの happy-dom の使用方法に依存しますが、通常は信頼できないソースからの ES スクリプトの処理が含まれます。

リスク対象者翻訳中…

Applications and services built on Node.js that utilize the happy-dom module for DOM manipulation or testing are at risk. This includes projects using happy-dom for server-side rendering, automated testing, or simulating browser environments. Projects relying on third-party libraries that transitively depend on vulnerable versions of happy-dom are also potentially affected.

検出手順翻訳中…

• nodejs / server:

  npm list happy-dom

• nodejs / server:

  npm audit happy-dom

• nodejs / server: Check package.json for versions prior to 20.8.8. • nodejs / server: Examine application logs for errors related to ES module compilation or JavaScript execution originating from external sources.

攻撃タイムライン

2026-03-26Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.08% (24% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントhappy-dom

ベンダーosv

影響範囲修正版

>= 15.10.0, < 20.8.8 – >= 15.10.0, < 20.8.815.10.1

15.10.020.8.8

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2026-03-24
公開日2026-03-26
更新日2026-03-30
EPSS 更新日2026-04-04

公開後-1日でパッチ適用

緩和策と回避策

CVE-2026-33943 の主な軽減策は、happy-dom をバージョン 20.8.8 以降にアップグレードすることです。このバージョンには、export { } 宣言への挿入コンテンツを適切にサニタイズすることで脆弱性を修正する修正が含まれています。その間、一時的な措置として、信頼できないソースからの ES スクリプトの処理を避けてください。さらに、happy-dom の使用状況で脆弱になる可能性のある箇所を特定し、happy-dom で処理する前にユーザーが提供するすべてのデータを検証およびクリーンアップするための追加の入力制御を適用します。パッチを適用し、安全なコーディングプラクティスを採用することは、このリスクを軽減するために不可欠です。

修正方法

バージョン 20.8.8 以降にアップデートしてください。このバージョンは、ECMAScriptModuleCompiler のコードインジェクションの脆弱性を修正します。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33943 とは何ですか？（happy-dom の Remote Code Execution (RCE)）