happy-dom 漏洞 (CVE-2026-34226) 导致 Cookie 泄露

Happy DOM 在没有图形用户界面 (GUI) 的情况下模拟网页浏览器。此漏洞允许攻击者利用 fetch(..., { credentials: "include" }) 功能，将当前页面来源 (window.location) 的 Cookie 附加到请求目标 URL，而不是预期目标。这意味着如果一个应用程序使用 Happy DOM 并且允许跨源请求，攻击者可能能够从一个来源 (A) 窃取 Cookie 并将其发送到另一个来源 (B)。例如，假设网站 A 使用 Happy DOM 渲染用户界面，并且允许用户通过 API 调用访问网站 B 的资源。如果网站 A 存在此漏洞，攻击者可以通过操纵 API 调用，将网站 A 的 Cookie 泄露给网站 B。这可能导致攻击者冒充用户，访问敏感数据或执行未经授权的操作。 潜在的数据泄露包括会话 Cookie、身份验证令牌和其他存储在 Cookie 中的敏感信息。 攻击的范围取决于应用程序如何使用 Happy DOM 以及它是否允许跨源请求。如果应用程序在受信任的环境中使用 Happy DOM，并且没有跨源请求，则风险较低。然而，在不安全的环境中，此漏洞可能导致严重的后果。

Applications utilizing Happy DOM for headless browser automation, particularly those involved in web scraping, testing, or automated form filling, are at risk. This includes developers and organizations using Happy DOM as a component in their CI/CD pipelines or for automated user interactions.

• nodejs: Use npm audit to check for vulnerable versions of Happy DOM.

npm audit happy-dom@<=20.8.9

• nodejs: Inspect application code for usage of fetch with credentials: "include". Search for patterns like fetch(..., { credentials: "include" }). • generic web: Review application logs for unusual cross-origin requests that might indicate cookie leakage. Monitor for unexpected cookies being sent to third-party domains.

1. 2026-03-27Disclosure

   disclosure

1. 已保留2026-03-26
2. 发布日期2026-03-27
3. 修改日期2026-03-31
4. EPSS 更新日期2026-04-04

要修复 CVE-2026-34226，请立即将 Happy DOM 升级到版本 20.8.9 或更高版本。此版本已修复了 Cookie 泄露问题。如果无法立即升级，则可以考虑以下缓解措施：限制 Happy DOM 的跨源请求，确保应用程序仅允许来自受信任来源的请求。实施严格的 Cookie 安全策略，例如使用 HttpOnly 和 Secure 标志来防止 Cookie 被窃取和跨站点脚本攻击 (XSS)。在应用程序代码中添加额外的验证和授权检查，以防止未经授权的访问。升级后，请验证 Cookie 是否正确附加到请求目标 URL，而不是当前页面来源。可以使用浏览器开发工具或网络抓包工具来检查 HTTP 请求头，确认 Cookie 的正确性。 务必在生产环境升级之前，在测试环境中验证升级后的版本是否正常工作。