Platform
nodejs
Component
happy-dom
Opgelost in
15.10.3
15.10.2
CVE-2024-51757 beschrijft een kritieke Remote Code Execution (RCE) kwetsbaarheid in het happy-dom Node.js pakket. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige code uit te voeren op het systeem. De kwetsbaarheid is verholpen in versie 15.10.2 en er zijn geen eenvoudige workarounds bekend.
Deze RCE kwetsbaarheid in happy-dom is bijzonder ernstig omdat het een aanvaller in staat stelt om volledige controle over het systeem te krijgen waar het pakket is geïnstalleerd. Een succesvolle exploit kan leiden tot data-exfiltratie, malware-installatie, en verdere compromittering van het netwerk. Aangezien happy-dom vaak wordt gebruikt in testomgevingen en server-side rendering, kan de impact aanzienlijk zijn. De kwetsbaarheid is te wijten aan een onvoldoende validatie van input, waardoor een aanvaller schadelijke code kan injecteren en uitvoeren. Dit is vergelijkbaar met andere RCE kwetsbaarheden waarbij input niet correct wordt gesaneerd.
Deze kwetsbaarheid is openbaar bekend en er is een GitHub issue (#1585) die de details beschrijft. De CVSS score van 9.5 duidt op een hoog risico. Er zijn momenteel geen bekende actieve campagnes gerapporteerd, maar de publicatie van de kwetsbaarheid en de hoge CVSS score maken exploitatie waarschijnlijk. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat de urgentie van patching onderstreept.
Applications and systems utilizing happy-dom in their Node.js projects, particularly those involved in automated testing, server-side rendering, or any scenario where user-supplied input is processed by happy-dom, are at significant risk. Projects relying on older, unmaintained versions of happy-dom are especially vulnerable.
• nodejs / server:
npm list happy-domThis command will list the installed version of happy-dom. If the version is less than 15.10.2, the system is vulnerable. • nodejs / server:
npm auditRun an npm audit to identify vulnerabilities in your project dependencies, including happy-dom.
• nodejs / server:
Inspect package.json for happy-dom dependency and check the version number.
disclosure
Exploit Status
EPSS
0.66% (71% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2024-51757 is het upgraden van het happy-dom pakket naar versie 15.10.2 of hoger. Aangezien er geen eenvoudige workarounds bekend zijn, is een upgrade essentieel. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere, veilige versie (indien beschikbaar) en plan een zorgvuldige upgrade in een testomgeving. Monitor de Node.js applicaties op verdachte processen en ongebruikelijke netwerkactiviteit. Implementeer een Web Application Firewall (WAF) om potentiële aanvallen te detecteren en te blokkeren.
Werk de happy-dom bibliotheek bij naar versie 15.10.2 of hoger. Dit zal de kwetsbaarheid oplossen die de uitvoering van server-side code via de `<script>` tag mogelijk maakt. U kunt de bibliotheek bijwerken met npm of yarn.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-51757 is a critical Remote Code Execution (RCE) vulnerability in the happy-dom Node.js package, allowing attackers to execute arbitrary code. It has a CVSS score of 9.5.
You are affected if you are using a version of happy-dom prior to 15.10.2. Check your project dependencies immediately.
Upgrade the happy-dom package to version 15.10.2 or later using npm or yarn. There are no known workarounds.
While no active exploitation campaigns have been publicly reported, the critical severity suggests a high probability of exploitation if left unpatched.
Refer to the GitHub issue [#1585](https://github.com/capricorn86/happy-dom/issues/1585) for details and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.