Plataforma
nodejs
Componente
happy-dom
Corrigido em
15.10.1
20.8.8
A vulnerabilidade CVE-2026-33943 refere-se a uma falha de injeção de código no componente ECMAScriptModuleCompiler do happy-dom, permitindo a um atacante executar código remotamente (RCE) através da injeção de expressões JavaScript arbitrárias. Essa falha ocorre devido à interpolação direta de conteúdo não sanitizado em código gerado, resultando na execução de código malicioso. A versão afetada é anterior à 20.8.8, onde a vulnerabilidade foi corrigida.
A vulnerabilidade CVE-2026-33943 no happy-dom representa um risco significativo de Execução Remota de Código (RCE). O compilador de Módulos ECMAScript não sanitiza adequadamente o conteúdo injetado dentro das declarações export { } em scripts de módulos ES processados pelo happy-dom. Isso permite que um atacante insira expressões JavaScript arbitrárias que são executadas diretamente durante o processo de compilação. A falha em remover aspas graves (backticks) pelo filtro de aspas permite o uso de literais de modelo, facilitando a evasão das medidas de segurança existentes. A exploração bem-sucedida pode permitir que um atacante comprometa a segurança da aplicação, obtendo potencialmente acesso não autorizado a dados confidenciais ou controlando a execução do sistema.
A vulnerabilidade é explorada injetando código JavaScript malicioso dentro das declarações export { } em scripts ES processados pelo happy-dom. O atacante pode controlar o conteúdo desses scripts, permitindo a execução de código arbitrário. A falta de sanitização adequada do conteúdo injetado e a incapacidade de remover aspas graves (backticks) no filtro de aspas permitem a criação de payloads de literais de modelo que evitam a detecção. O contexto de exploração depende de como o happy-dom é usado na aplicação, mas geralmente envolve o processamento de scripts ES de fontes não confiáveis.
Applications and services built on Node.js that utilize the happy-dom module for DOM manipulation or testing are at risk. This includes projects using happy-dom for server-side rendering, automated testing, or simulating browser environments. Projects relying on third-party libraries that transitively depend on vulnerable versions of happy-dom are also potentially affected.
• nodejs / server:
npm list happy-dom• nodejs / server:
npm audit happy-dom• nodejs / server: Check package.json for versions prior to 20.8.8. • nodejs / server: Examine application logs for errors related to ES module compilation or JavaScript execution originating from external sources.
disclosure
Status do Exploit
EPSS
0.08% (percentil 24%)
CISA SSVC
Vetor CVSS
A mitigação principal para CVE-2026-33943 é atualizar para a versão 20.8.8 ou superior do happy-dom. Esta versão inclui uma correção que aborda a vulnerabilidade, sanitizando adequadamente o conteúdo injetado nas declarações export { }. Enquanto isso, como medida temporária, evite processar scripts ES de fontes não confiáveis. Além disso, revise o código para identificar qualquer uso potencial do happy-dom que possa ser vulnerável e aplique controles de entrada adicionais para validar e limpar quaisquer dados fornecidos pelo usuário antes de processá-los com o happy-dom. A aplicação de patches e a adoção de práticas de codificação segura são cruciais para mitigar este risco.
Actualice a la versión 20.8.8 o superior. Esta versión corrige la vulnerabilidad de inyección de código en el ECMAScriptModuleCompiler.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Happy-dom é uma implementação JavaScript de DOM e objetos web que permite executar testes de ponta a ponta em Node.js sem a necessidade de um navegador real.
Se sua aplicação usa happy-dom e processa scripts ES de fontes não confiáveis, você pode ser vulnerável à execução remota de código.
Como medida temporária, evite processar scripts ES de fontes não confiáveis e revise seu código em busca de possíveis pontos de entrada vulneráveis.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade. A revisão manual do código e a aplicação de patches são as melhores opções.
Você pode encontrar mais informações sobre esta vulnerabilidade em bancos de dados de vulnerabilidades, como o NVD (National Vulnerability Database) e nos registros de alterações do happy-dom.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.