CVE-2026-33943 in happy-dom
Сводка
по VulDB • 18.07.2026
Happy DOM представляет собой реализацию веб-браузера на JavaScript без графического пользовательского интерфейса (GUI). В версиях от 15.10.0 до 20.8.7 уязвимость внедрения кода в `ECMAScriptModuleCompiler` позволяет злоумышленнику выполнить удаленный код (RCE), внедряя произвольные выражения JavaScript внутрь объявлений вида `export { }` в скриптах ES-модулей, обрабатываемых happy-dom. Компилятор напрямую интерполирует неочищенный контент в генерируемый код как исполняемое выражение, а фильтр кавычек не удаляет обратные апострофы (backticks), что позволяет обходить санитизацию с помощью полезной нагрузки на основе шаблонных литералов. Проблема исправлена в версии 20.8.8.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.