Happy DOM曝CVSS 9.4严重RCE漏洞,PoC已公开(CVE-2025-61927)
💡
原文中文,约2000字,阅读约需5分钟。
📝
内容提要
流行的JavaScript包Happy DOM存在严重安全漏洞CVE-2025-61927,攻击者可逃逸Node.js虚拟机执行任意代码。建议升级至v20版本并禁用不受信任的JavaScript评估,以防止数据泄露和代码执行风险。
🎯
关键要点
- 流行的JavaScript包Happy DOM存在严重安全漏洞CVE-2025-61927,攻击者可逃逸Node.js虚拟机执行任意代码。
- 该漏洞的CVSSv4评分为9.4,影响Happy DOM v19及更低版本。
- Happy DOM是一款用于测试、爬取和服务器端渲染的浏览器模拟工具,每周下载量超过270万次。
- 漏洞源于Happy DOM在Node.js VM上下文中处理JavaScript执行的方式,用户运行不受信任的代码可能逃逸VM。
- 攻击者可通过CommonJS或ESM模块实现不同级别的控制,可能导致任意代码执行。
- 运行Node.js时添加--disallow-code-generation-from-strings标志可阻断此攻击向量。
- 概念验证示例展示了攻击者如何获取process对象并列出服务器文件,证实了任意命令访问能力。
- 对执行不受信任或用户提供HTML的SSR平台和测试框架风险尤其严重,可能导致数据泄露、横向移动、代码执行和持久化。
- Happy DOM维护者已发布v20版本,默认禁用JavaScript评估,并建议立即升级至v20或更高版本。
- 处理不受信任内容时应完全禁用JavaScript评估,以防止安全风险。
❓
延伸问答
CVE-2025-61927漏洞的影响是什么?
该漏洞允许攻击者逃逸Node.js虚拟机,执行任意代码,可能导致数据泄露和系统控制。
如何防止Happy DOM中的安全漏洞?
建议升级至Happy DOM v20版本,并在运行Node.js时使用--disallow-code-generation-from-strings标志。
Happy DOM是什么?
Happy DOM是一款用于测试、爬取和服务器端渲染的浏览器模拟工具,每周下载量超过270万次。
CVE-2025-61927的CVSS评分是多少?
该漏洞的CVSSv4评分为9.4,属于严重级别。
漏洞是如何被利用的?
攻击者可以通过CommonJS或ESM模块访问Node.js进程级对象,从而执行任意代码。
Happy DOM的维护者采取了哪些措施?
维护者已发布v20版本,默认禁用JavaScript评估,并建议用户立即升级。
➡️
