Happy DOM's fetch referenties bevatten page-origin cookies in plaats van target-origin cookies

Deze kwetsbaarheid in Happy DOM, een JavaScript implementatie van een webbrowser zonder grafische interface, kan leiden tot het onbedoeld lekken van cookies. Stel je voor dat een applicatie gebruik maakt van Happy DOM om een webpagina te renderen en data te verwerken, bijvoorbeeld een server-side rendering framework. Als deze applicatie fetch(..., { credentials: "include" }) gebruikt om data op te halen van een andere origin (domein), kan Happy DOM per ongeluk cookies van de huidige pagina (window.location) toevoegen aan de request headers in plaats van de cookies die specifiek horen bij de target URL. Dit betekent dat een kwaadwillende website, die via Happy DOM data opvraagt van een andere website (origin A), mogelijk cookies van die website kan bemachtigen, zelfs als die cookies alleen geldig zijn voor origin A. Deze gestolen cookies kunnen vervolgens worden gebruikt om ongeautoriseerde toegang te krijgen tot resources of functionaliteit op origin A, zoals gebruikersaccounts of gevoelige data. De blast radius is afhankelijk van de gevoeligheid van de cookies die gelekt kunnen worden en de toegang die een aanvaller hiermee kan verkrijgen. Een succesvolle exploit vereist dat een applicatie Happy DOM gebruikt en de credentials: "include" optie in fetch aanroept om data op te halen van een andere origin.

Applications utilizing Happy DOM for headless browser automation, particularly those involved in web scraping, testing, or automated form filling, are at risk. This includes developers and organizations using Happy DOM as a component in their CI/CD pipelines or for automated user interactions.

• nodejs: Use npm audit to check for vulnerable versions of Happy DOM.

npm audit happy-dom@<=20.8.9

• nodejs: Inspect application code for usage of fetch with credentials: "include". Search for patterns like fetch(..., { credentials: "include" }). • generic web: Review application logs for unusual cross-origin requests that might indicate cookie leakage. Monitor for unexpected cookies being sent to third-party domains.

1. 2026-03-27Disclosure

   disclosure

1. Gereserveerd2026-03-26
2. Gepubliceerd2026-03-27
3. Gewijzigd2026-03-31
4. EPSS bijgewerkt2026-04-04

De meest effectieve manier om deze kwetsbaarheid te verhelpen is het updaten van Happy DOM naar versie 20.8.9 of hoger. Dit update bevat de correctie die ervoor zorgt dat cookies correct worden gekoppeld aan de request target URL. Indien een directe upgrade niet mogelijk is, is het belangrijk om het gebruik van credentials: "include" in fetch te heroverwegen. Als deze functionaliteit essentieel is, overweeg dan om de cookies die worden meegezonden expliciet te beheren en te filteren, zodat alleen de relevante cookies worden verstuurd. Test na elke wijziging grondig om te verzekeren dat de functionaliteit correct werkt en dat er geen onbedoelde data lekken plaatsvinden. Controleer na de upgrade of de cookies correct worden verzonden door de request headers te inspecteren met behulp van browser developer tools of een netwerk proxy. Het is belangrijk om de upgrade in een testomgeving te implementeren voordat deze in productie wordt gebracht om onverwachte impact te voorkomen.

Laatste update

20.9.0recent