官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
流行的JavaScript包Happy DOM曝出严重安全漏洞,该漏洞可使攻击者逃逸Node.js虚拟机(VM)上下文并在主机系统上执行任意代码。该漏洞被追踪为CVE-2025-61927,CVSSv4评分为9.4。
Happy DOM是一款用于测试、爬取和服务器端渲染(SSR)的浏览器模拟工具。据安全公告显示:"Happy DOM v19及更低版本存在安全漏洞,可能导致系统遭受远程代码执行(RCE)攻击。"
漏洞背景
Happy DOM是基于WHATWG标准的无图形界面浏览器JavaScript实现,每周下载量超过270万次,广泛应用于测试环境和SSR框架。
该漏洞源于Happy DOM在Node.js VM上下文中处理JavaScript执行的方式。项目方解释称:"Node.js VM上下文并非隔离环境,若用户在Happy DOM VM上下文中运行不受信任的JavaScript代码,可能逃逸VM并获取进程级功能访问权限。"
技术细节
本质上,该漏洞允许不受信任的脚本访问Node.js进程级对象,可能导致任意代码执行。攻击者可通过CommonJS或ESM模块实现不同级别的控制:
- 通过CommonJS可获取require()函数导入模块
- 通过ESM虽无法获取import或require,但仍可访问process.pid等进程级信息
漏洞源自JavaScript的Function继承链。所有类和函数都继承自Function,后者可从字符串评估代码。公告解释称:"通过遍历构造函数链可获取进程级Function,由于Function可从字符串评估代码,因此可在进程级执行代码。"
缓解措施
运行Node.js时添加--disallow-code-generation-from-strings标志可阻断此攻击向量,该标志会禁用进程级基于字符串的动态代码执行。
PoC示例
以下简单概念验证展示了风险:
const { Window } = require('happy-dom');
const window = new Window({ console });
window.document.write(`
<script>
const process = this.constructor.constructor('return process')();
const require = process.mainModule.require;
console.log('Files:', require('fs').readdirSync('.').slice(0,3));
</script>
`);
该PoC通过获取process对象、加载Node内置fs模块并列出服务器文件,证实了任意命令访问能力。
潜在危害
对执行不受信任或用户提供HTML的SSR平台和测试框架风险尤其严重,可能导致:
- 数据泄露:窃取环境变量、配置文件或API密钥
- 横向移动:访问内部网络资源
- 代码执行:通过子进程运行任意命令
- 持久化:操纵本地文件系统实现长期访问
修复方案
Happy DOM维护者已发布v20版本,默认禁用JavaScript评估,并为不安全环境新增警告。项目方建议立即采取三项措施:
- 升级至v20或更高版本
- 必须启用评估时,使用
--disallow-code-generation-from-strings标志运行Node.js - 处理不受信任内容时完全禁用JavaScript评估
参考来源:
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)