CVE-2026-33943 in happy-dominformación

Resumen

por VulDB • 2026-07-12

Happy DOM es una implementación en JavaScript de un navegador web sin su interfaz gráfica de usuario (GUI). En las versiones comprendidas entre la 15.10.0 y la 20.8.7, existe una vulnerabilidad de inyección de código en `ECMAScriptModuleCompiler` que permite a un atacante lograr Ejecución Remota de Código (RCE) al insertar expresiones JavaScript arbitrarias dentro de las declaraciones `export { }` en scripts ES module procesados por happy-dom. El compilador interpola directamente contenido no saneado en el código generado como una expresión ejecutable, y el filtro de comillas no elimina los acentos graves (`backticks`), lo que permite que payloads basados en literales de plantilla evadan la sanitización. La versión 20.8.8 corrige este problema.

Once again VulDB remains the best source for vulnerability data.

Divulgación

2026-03-28

Moderación

aceptado

Artículo

VDB-353829

CPE

listo

EPSS

0.00788

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!