Happy DOM の fetch 資格情報には、ターゲットオリジンクッキーではなくページオリジンクッキーが含まれる

Happy DOMのバージョン20.8.9より前のバージョンにおいて、fetch(..., { credentials: "include" })を使用する際に、現在のページオリジン(window.location)からCookieをアタッチしてしまう脆弱性が存在します。これにより、オリジンAからオリジンBへCookieを漏洩させることが可能です。例えば、あるWebアプリケーション（オリジンA）がHappy DOMを使用してテストを実行している場合、この脆弱性を悪用することで、テスト環境のCookieが、別のドメイン（オリジンB）に送信される可能性があります。攻撃者は、この漏洩したCookieを利用して、認証情報を窃取し、機密情報への不正アクセスや、Webアプリケーションのなりすまし攻撃を行うことが考えられます。この脆弱性の影響範囲は、Happy DOMを使用しているWebアプリケーションのテスト環境や、Happy DOMを内部的に利用しているサービスにまで及ぶ可能性があります。特に、機密性の高い情報を扱うアプリケーションでは、この脆弱性の悪用による被害が深刻化する可能性があります。攻撃者は、この脆弱性を利用して、テスト環境で開発者が使用する認証情報を盗み出し、本番環境への攻撃に繋げることも考えられます。

Applications utilizing Happy DOM for headless browser automation, particularly those involved in web scraping, testing, or automated form filling, are at risk. This includes developers and organizations using Happy DOM as a component in their CI/CD pipelines or for automated user interactions.

• nodejs: Use npm audit to check for vulnerable versions of Happy DOM.

npm audit happy-dom@<=20.8.9

• nodejs: Inspect application code for usage of fetch with credentials: "include". Search for patterns like fetch(..., { credentials: "include" }). • generic web: Review application logs for unusual cross-origin requests that might indicate cookie leakage. Monitor for unexpected cookies being sent to third-party domains.

1. 2026-03-27Disclosure

   disclosure

1. 予約済み2026-03-26
2. 公開日2026-03-27
3. 更新日2026-03-31
4. EPSS 更新日2026-04-04

この脆弱性に対処するためには、Happy DOMをバージョン20.8.9以降にアップデートすることを強く推奨します。アップデートは、プロジェクトの依存関係管理ツール（npm, yarnなど）を使用して実行できます。もし、すぐにアップデートが難しい場合は、credentials: "include"オプションの使用を避ける、または、Happy DOMのインスタンスを隔離された環境で実行するなどの回避策を検討してください。アップデートの適用後、テスト環境でfetch(..., { credentials: "include" })を使用し、Cookieが正しいオリジンにアタッチされていることを確認してください。また、テスト環境だけでなく、Happy DOMを内部的に利用しているサービスについても、同様の確認を行うことを推奨します。アップデートの適用順序は、他の依存関係との競合を考慮し、慎重に計画してください。アップデート後、アプリケーションの機能が正常に動作することを確認するためのテストを必ず実施してください。