CVE-2026-33943 in happy-dom
Zusammenfassung
von VulDB • 09.07.2026
Happy DOM ist eine JavaScript-Implementierung eines Webbrowsers ohne grafische Benutzeroberfläche (GUI). In den Versionen von 15.10.0 bis 20.8.7 ermöglicht eine Code-Injection-Schwachstelle in `ECMAScriptModuleCompiler` einem Angreifer, Remote Code Execution (RCE) durchzuführen, indem beliebige JavaScript-Ausdrücke in `export { }`-Deklarationen in ES-Modulskripten eingefügt werden, die von happy-dom verarbeitet werden. Der Compiler interpoliert ungesäuberte Inhalte direkt als ausführbaren Ausdruck im generierten Code; der Quote-Filter entfernt keine Backticks (`` ` ``), wodurch auf Template-Literal-basierten Payloads basierende Angriffe die Säuberungslogik umgehen können. Die Version 20.8.8 behebt dieses Problem.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.