平台
nodejs
组件
happy-dom
修复版本
15.10.3
15.10.2
CVE-2024-51757 是一个关键的远程代码执行 (RCE) 漏洞,影响到使用 happy-dom Node.js 包的应用程序。该漏洞允许攻击者在受影响的版本中执行任意代码,可能导致完全控制系统。受影响的版本包括 happy-dom 的 v15.10.2 之前的版本。建议立即升级到 v15.10.2 以解决此问题。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞在应用程序的上下文中执行任意代码,从而获得对服务器的完全控制权。这可能导致敏感数据泄露、恶意软件安装、甚至整个系统的破坏。由于 happy-dom 广泛应用于各种 JavaScript 测试框架和服务器端渲染应用中,因此该漏洞的攻击面非常广阔。攻击者可以通过精心构造的输入来触发漏洞,从而执行恶意代码。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用案例。建议密切关注安全社区的动态,并及时采取相应的安全措施。该漏洞可能被添加到 CISA KEV 目录中,以便更好地跟踪和响应。
Applications and systems utilizing happy-dom in their Node.js projects, particularly those involved in automated testing, server-side rendering, or any scenario where user-supplied input is processed by happy-dom, are at significant risk. Projects relying on older, unmaintained versions of happy-dom are especially vulnerable.
• nodejs / server:
npm list happy-domThis command will list the installed version of happy-dom. If the version is less than 15.10.2, the system is vulnerable. • nodejs / server:
npm auditRun an npm audit to identify vulnerabilities in your project dependencies, including happy-dom.
• nodejs / server:
Inspect package.json for happy-dom dependency and check the version number.
disclosure
漏洞利用状态
EPSS
0.66% (71% 百分位)
CISA SSVC
目前,没有已知的缓解措施可以完全消除此漏洞的风险,除了升级到已修复的版本。建议立即将 happy-dom 升级到 v15.10.2 或更高版本。如果升级会导致应用程序中断,请考虑回滚到之前的稳定版本,并密切监控系统是否存在异常活动。在升级后,请务必进行彻底的测试,以确保应用程序的功能正常,并且没有引入新的问题。建议在升级前备份应用程序和相关数据。
将 happy-dom 库升级到 15.10.2 或更高版本。 这将解决通过 `<script>` 标签执行服务器端代码的漏洞。 您可以使用 npm 或 yarn 升级库。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-51757 是一个远程代码执行漏洞,影响 happy-dom Node.js 包的 v15.10.2 之前的版本,攻击者可以执行任意代码。
如果您正在使用 happy-dom 的 v15.10.2 之前的版本,则可能受到影响。请立即检查您的版本并升级。
升级到 happy-dom 的 v15.10.2 或更高版本可以修复此漏洞。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,预计未来可能会出现利用案例。
请访问 happy-dom 的 GitHub 仓库 [#1585](https://github.com/capricorn86/happy-dom/issues/1585) 获取更多信息。