Happy DOM曝CVSS 9.4严重RCE漏洞，PoC已公开（CVE-202···

发布时间：2025-10-13 作者：量子计算来源：量子计算浏览量（3）点赞（0）

摘要：Happy DOM曝CVSS 9.4严重RCE漏洞，影响270万周下载量。该漏洞允许攻击者通过DOM操作逃逸沙箱执行远程代码，需立即升级版本并检查依赖。

简介

流行的JavaScript包Happy DOM曝出严重安全漏洞，该漏洞可使攻击者逃逸沙箱环境并实现远程代码执行（RCE），CVSS评分高达9.4。该库每周下载量约270万次，广泛用于无头浏览器测试和服务器端渲染，漏洞公开后PoC已扩散，需立即修复。

核心详情

该漏洞（CVE-2025-61927）源于Happy DOM在处理DOM操作时未充分验证输入，导致攻击者可通过特制HTML注入恶意脚本，绕过安全限制直接执行系统命令。技术原理涉及DOM解析器对动态属性处理的缺陷，允许注入的JavaScript访问Node.js环境接口。信息来源包括FreeBuf公开报告及GitHub已发布的PoC代码，漏洞影响所有未更新版本的Happy DOM包，尤其在SSR和自动化测试场景中风险显著，可能被用于供应链攻击或数据窃取。

适用范围

适用于使用Happy DOM进行前端测试的开发者、部署服务器端渲染的Web应用团队，以及依赖无头浏览器处理动态内容的运维人员，特别是Node.js环境下的应用场景。

推荐措施

1、立即升级Happy DOM至已修复漏洞的最新版本，检查项目依赖并运行安全扫描；

2、在CI/CD流程中集成SCA工具监控第三方库漏洞，避免在生产环境使用未验证的DOM操作。