流行的JavaScript包Happy DOM曝出严重安全漏洞,该漏洞可使攻击者逃逸Node.js虚拟机(VM)上下文并在主机系统上执行任意代码。该漏洞被追踪为CVE-2025-61927,CVSSv4评分为9.4。
Happy DOM是一款用于测试、爬取和服务器端渲染(SSR)的浏览器模拟工具。据安全公告显示:"Happy DOM v19及更低版本存在安全漏洞,可能导致系统遭受远程代码执行(RCE)攻击。"
漏洞背景
Happy DOM是基于WHATWG标准的无图形界面浏览器JavaScript实现,每周下载量超过270万次,广泛应用于测试环境和SSR框架。
该漏洞源于Happy DOM在Node.js VM上下文中处理JavaScript执行的方式。项目方解释称:"Node.js VM上下文并非隔离环境,若用户在Happy DOM VM上下文中运行不受信任的JavaScript代码,可能逃逸VM并获取进程级功能访问权限。"
技术细节
本质上,该漏洞允许不受信任的脚本访问Node.js进程级对象,可能导致任意代码执行。攻击者可通过CommonJS或ESM模块实现不同级别的控制:
- 通过CommonJS可获取require()函数导入模块
- 通过ESM虽无法获取import或require,但仍可访问process.pid等进程级信息
漏洞源自JavaScript的Function继承链。所有类和函数都继承自Function,后者可从字符串评估代码。公告解释称:"通过遍历构造函数链可获取进程级Function,由于Function可从字符串评估代码,因此可在进程级执行代码。"
缓解措施
运行Node.js时添加--disallow-code-generation-from-strings标志可阻断此攻击向量,该标志会禁用进程级基于字符串的动态代码执行。
PoC示例
以下简单概念验证展示了风险:
const { Window } = require('happy-dom');
const window = new Window({ console });
window.document.write(`
<script>
const process = this.constructor.constructor('return process')();
const require = process.mainModule.require;
console.log('Files:', require('fs').readdirSync('.').slice(0,3));
</script>
`);该PoC通过获取process对象、加载Node内置fs模块并列出服务器文件,证实了任意命令访问能力。
潜在危害
对执行不受信任或用户提供HTML的SSR平台和测试框架风险尤其严重,可能导致:
- 数据泄露:窃取环境变量、配置文件或API密钥
- 横向移动:访问内部网络资源
- 代码执行:通过子进程运行任意命令
- 持久化:操纵本地文件系统实现长期访问
修复方案
Happy DOM维护者已发布v20版本,默认禁用JavaScript评估,并为不安全环境新增警告。项目方建议立即采取三项措施:
- 升级至v20或更高版本
- 必须启用评估时,使用
--disallow-code-generation-from-strings标志运行Node.js - 处理不受信任内容时完全禁用JavaScript评估