简介 

    流行的JavaScript包Happy DOM曝出严重安全漏洞，该漏洞可使攻击者逃逸沙箱并实现远程代码执行（RCE），CVSS评分高达9.4。该库每周下载量超过270万，广泛用于服务器端渲染和测试环境，漏洞利用PoC已公开，威胁级别极高。

核心详情 

    该漏洞（CVE-2025-61927）源于Happy DOM在处理DOM操作时未正确验证输入，攻击者可通过特制HTML载荷触发原型污染或上下文逃逸，进而在宿主环境中执行任意代码。技术分析显示，漏洞影响所有依赖Happy DOM进行虚拟DOM渲染的Node.js应用，包括Next.js、Nuxt.js等框架的服务器端组件。FreeBuf等安全平台已发布详细分析报告，指出漏洞利用无需复杂权限，且公开的PoC代码加剧了攻击风险，开发人员需立即采取缓解措施。

适用范围  

    适用于所有使用Happy DOM库的Node.js开发者、运维团队及安全研究人员，特别是涉及服务器端渲染（SSR）、自动化测试或无头浏览器场景的项目。若项目通过npm直接或间接依赖Happy DOM，均需评估受影响程度。

推荐措施 

    1、立即升级Happy DOM至官方已修复的安全版本（如v12.0.1及以上），检查项目依赖树使用`npm audit`或`yarn audit`扫描漏洞；

    2、在升级前临时禁用Happy DOM的高风险功能模块，部署WAF规则过滤异常DOM操作请求，参考OWASP沙箱逃逸防护指南强化环境隔离。