Platform
nodejs
Component
happy-dom
Opgelost in
15.10.1
20.8.8
CVE-2026-33943 is een code-injectie kwetsbaarheid in ECMAScriptModuleCompiler van happy-dom, waardoor een aanvaller Remote Code Execution (RCE) kan uitvoeren. Dit wordt bereikt door willekeurige JavaScript-expressies te injecteren in export { } declaraties in ES-module scripts. De compiler interpoleert ongefilterde inhoud direct in gegenereerde code, waardoor template literal-based payloads sanitatie kunnen omzeilen. Deze kwetsbaarheid treft versies van happy-dom vóór 20.8.8. Een update naar versie 20.8.8 verhelpt het probleem.
CVE-2026-33943 in happy-dom vormt een aanzienlijk risico op Remote Code Execution (RCE). De ECMAScript Module Compiler desinfecteert de inhoud die in export { }-verklaringen in ES-module scripts die door happy-dom worden verwerkt, niet correct. Dit stelt een aanvaller in staat om willekeurige JavaScript-expressies in te voegen die direct tijdens het compileerproces worden uitgevoerd. Het falen om backticks te verwijderen door de aanhalingstekenfilter maakt het gebruik van template literals mogelijk, waardoor het omzeilen van bestaande beveiligingsmaatregelen wordt vergemakkelijkt. Een succesvolle exploitatie kan een aanvaller in staat stellen de beveiliging van de applicatie te compromitteren, mogelijk ongeautoriseerde toegang te krijgen tot gevoelige gegevens of de systeemuitvoering te controleren.
De kwetsbaarheid wordt uitgebuit door kwaadaardige JavaScript-code in te voegen in export { }-verklaringen in ES-scripts die door happy-dom worden verwerkt. De aanvaller kan de inhoud van deze scripts controleren, waardoor de uitvoering van willekeurige code mogelijk wordt. Het ontbreken van een correcte desinfectie van de ingevoegde inhoud en het onvermogen om backticks in de aanhalingstekenfilter te verwijderen, maakt de creatie van template literal payloads mogelijk die detectie vermijden. De exploitatiecontext hangt af van hoe happy-dom in de applicatie wordt gebruikt, maar omvat over het algemeen de verwerking van ES-scripts van onbetrouwbare bronnen.
Applications and services built on Node.js that utilize the happy-dom module for DOM manipulation or testing are at risk. This includes projects using happy-dom for server-side rendering, automated testing, or simulating browser environments. Projects relying on third-party libraries that transitively depend on vulnerable versions of happy-dom are also potentially affected.
• nodejs / server:
npm list happy-dom• nodejs / server:
npm audit happy-dom• nodejs / server: Check package.json for versions prior to 20.8.8. • nodejs / server: Examine application logs for errors related to ES module compilation or JavaScript execution originating from external sources.
disclosure
Exploit Status
EPSS
0.08% (24% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33943 is het upgraden naar versie 20.8.8 of hoger van happy-dom. Deze versie bevat een fix die de kwetsbaarheid aanpakt door de inhoud die in export { }-verklaringen wordt ingevoegd, correct te desinfecteren. In de tussentijd, als tijdelijke maatregel, ES-scripts van onbetrouwbare bronnen vermijden. Controleer bovendien de code om te identificeren of happy-dom op een manier wordt gebruikt die kwetsbaar kan zijn en pas aanvullende invoercontroles toe om alle door de gebruiker verstrekte gegevens te valideren en te reinigen voordat ze met happy-dom worden verwerkt. Het toepassen van patches en het aannemen van veilige codering practices zijn cruciaal om dit risico te beperken.
Actualice a la versión 20.8.8 o superior. Esta versión corrige la vulnerabilidad de inyección de código en el ECMAScriptModuleCompiler.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Happy-dom is een JavaScript-implementatie van DOM en webobjecten waarmee end-to-end-tests in Node.js kunnen worden uitgevoerd zonder dat een echte browser nodig is.
Als uw applicatie happy-dom gebruikt en ES-scripts van onbetrouwbare bronnen verwerkt, kan deze kwetsbaar zijn voor remote code execution.
Als tijdelijke maatregel, vermijd het verwerken van ES-scripts van onbetrouwbare bronnen en controleer uw code op potentiële kwetsbare toegangspunten.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren. Handmatige code review en patching zijn de beste opties.
U kunt meer informatie over deze kwetsbaarheid vinden in vulnerability databases zoals de NVD (National Vulnerability Database) en in de changelogs van happy-dom.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.