CVE-2026-33943 in happy-dominfo

Zusammenfassung

von VulDB • 09.07.2026

Happy DOM ist eine JavaScript-Implementierung eines Webbrowsers ohne grafische Benutzeroberfläche (GUI). In den Versionen von 15.10.0 bis 20.8.7 ermöglicht eine Code-Injection-Schwachstelle in `ECMAScriptModuleCompiler` einem Angreifer, Remote Code Execution (RCE) durchzuführen, indem beliebige JavaScript-Ausdrücke in `export { }`-Deklarationen in ES-Modulskripten eingefügt werden, die von happy-dom verarbeitet werden. Der Compiler interpoliert ungesäuberte Inhalte direkt als ausführbaren Ausdruck im generierten Code; der Quote-Filter entfernt keine Backticks (`` ` ``), wodurch auf Template-Literal-basierten Payloads basierende Angriffe die Säuberungslogik umgehen können. Die Version 20.8.8 behebt dieses Problem.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Veröffentlichung

28.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353829

CPE

bereit

EPSS

0.00788

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!