Plataforma
nodejs
Componente
happy-dom
Corrigido em
20.8.10
Uma vulnerabilidade de vazamento de cookies foi descoberta no Happy DOM, uma implementação JavaScript de um navegador web. Versões anteriores à 20.8.9 podem anexar cookies da origem da página atual ao URL de destino da requisição ao usar fetch(..., { credentials: "include" }). Isso pode levar ao vazamento de cookies de uma origem (A) para outra (B), comprometendo a segurança das aplicações web.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante intercepte e utilize cookies destinados a um domínio diferente. Isso pode resultar no roubo de informações de autenticação, sessões de usuário e outros dados sensíveis. O impacto é amplificado em ambientes onde o Happy DOM é utilizado para renderizar conteúdo de terceiros, pois um atacante pode explorar essa falha para acessar informações de outros domínios. A vulnerabilidade se assemelha a ataques de Cross-Site Scripting (XSS) em que a manipulação de cookies pode levar a acesso não autorizado.
A vulnerabilidade foi divulgada em 27 de março de 2026. Não há informações disponíveis sobre a adição à KEV (CISA Known Exploited Vulnerabilities) ou um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há um Proof of Concept (PoC) público amplamente divulgado, mas a natureza da vulnerabilidade sugere que a exploração é tecnicamente viável.
Applications utilizing Happy DOM for headless browser automation, particularly those involved in web scraping, testing, or automated form filling, are at risk. This includes developers and organizations using Happy DOM as a component in their CI/CD pipelines or for automated user interactions.
• nodejs: Use npm audit to check for vulnerable versions of Happy DOM.
npm audit happy-dom@<=20.8.9• nodejs: Inspect application code for usage of fetch with credentials: "include". Search for patterns like fetch(..., { credentials: "include" }).
• generic web: Review application logs for unusual cross-origin requests that might indicate cookie leakage. Monitor for unexpected cookies being sent to third-party domains.
disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o Happy DOM para a versão 20.8.9 ou superior, que corrige a vulnerabilidade. Como uma medida temporária, considere implementar políticas de segurança de conteúdo (CSP) para restringir o acesso a cookies de origens não confiáveis. Além disso, revise o código da aplicação para garantir que o uso de credentials: "include" seja estritamente necessário e que as requisições sejam feitas apenas para domínios confiáveis. Após a atualização, confirme a correção verificando se os cookies estão sendo anexados ao URL de destino correto.
Atualize a versão do Happy DOM para 20.8.9 ou superior. Esta versão corrige a vulnerabilidade que permite a fuga de cookies entre origens ao usar a função `fetch` com a opção `credentials: 'include'`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-34226 is a high-severity vulnerability in Happy DOM versions up to 20.8.9 that allows cookies to be leaked to unintended origins when using fetch with credentials: "include".
You are affected if you are using Happy DOM version 20.8.9 or earlier and your application uses the fetch API with credentials: "include".
Upgrade to Happy DOM version 20.8.9 or later. If immediate upgrade is not possible, implement stricter origin validation in your application.
There is no current evidence of active exploitation, but the vulnerability's nature suggests potential for exploitation and PoC development.
Refer to the Happy DOM project's repository and release notes for the official advisory and details on the fix: [https://github.com/happy-dom/happy-dom](https://github.com/happy-dom/happy-dom)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.