Plataforma
nodejs
Componente
happy-dom
Corrigido em
15.10.3
15.10.2
A vulnerabilidade CVE-2024-51757 é uma falha de Execução Remota de Código (RCE) identificada no pacote Node.js happy-dom. Esta falha permite que um atacante execute código arbitrário no sistema, comprometendo a integridade e a confidencialidade dos dados. A vulnerabilidade afeta versões anteriores à 15.10.2 e foi corrigida nesta versão.
A exploração bem-sucedida desta vulnerabilidade permite a um atacante executar comandos arbitrários no servidor onde o aplicativo Node.js está sendo executado. Isso pode levar ao roubo de dados confidenciais, como credenciais de usuário, informações financeiras e segredos de API. Além disso, o atacante pode usar o servidor comprometido como um ponto de apoio para lançar ataques a outros sistemas na rede, ampliando significativamente o raio de impacto. A natureza crítica da vulnerabilidade, combinada com a ampla utilização de Node.js em aplicações web, torna esta falha uma ameaça significativa para a segurança.
A vulnerabilidade foi divulgada em 6 de novembro de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas, mas a existência de uma vulnerabilidade RCE crítica com potencial de fácil exploração a torna um alvo atraente para atacantes. A ausência de um PoC público não significa que a exploração seja impossível, e a comunidade de segurança deve monitorar de perto a situação. A vulnerabilidade foi adicionada ao KEV (Known Exploited Vulnerabilities) pelo CISA.
Applications and systems utilizing happy-dom in their Node.js projects, particularly those involved in automated testing, server-side rendering, or any scenario where user-supplied input is processed by happy-dom, are at significant risk. Projects relying on older, unmaintained versions of happy-dom are especially vulnerable.
• nodejs / server:
npm list happy-domThis command will list the installed version of happy-dom. If the version is less than 15.10.2, the system is vulnerable. • nodejs / server:
npm auditRun an npm audit to identify vulnerabilities in your project dependencies, including happy-dom.
• nodejs / server:
Inspect package.json for happy-dom dependency and check the version number.
disclosure
Status do Exploit
EPSS
0.66% (percentil 71%)
CISA SSVC
A mitigação primária para CVE-2024-51757 é atualizar o pacote happy-dom para a versão 15.10.2 ou superior. Em ambientes onde a atualização imediata não é possível, considere remover o pacote happy-dom se não for essencial para a funcionalidade do aplicativo. Embora não existam workarounds fáceis, a implementação de políticas de segurança de conteúdo (CSP) pode ajudar a mitigar o impacto da exploração, restringindo as fontes de scripts que podem ser executados. Após a atualização, confirme a correção executando testes de regressão para garantir que a funcionalidade do aplicativo não foi afetada.
Atualize a biblioteca happy-dom para a versão 15.10.2 ou superior. Isso corrigirá a vulnerabilidade que permite a execução de código do lado do servidor através da tag `<script>`. Você pode atualizar a biblioteca utilizando npm ou yarn.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-51757 is a critical Remote Code Execution (RCE) vulnerability in the happy-dom Node.js package, allowing attackers to execute arbitrary code. It has a CVSS score of 9.5.
You are affected if you are using a version of happy-dom prior to 15.10.2. Check your project dependencies immediately.
Upgrade the happy-dom package to version 15.10.2 or later using npm or yarn. There are no known workarounds.
While no active exploitation campaigns have been publicly reported, the critical severity suggests a high probability of exploitation if left unpatched.
Refer to the GitHub issue [#1585](https://github.com/capricorn86/happy-dom/issues/1585) for details and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.