一、 漏洞 CVE-2025-62410 基础信息
漏洞信息
# happy-dom 不足隔离未信任JavaScript漏洞
## 概述
在版本 20.0.2 之前,`happy-dom` 被发现使用 `--disallow-code-generation-from-strings` 选项不足以隔离不受信任的 JavaScript 代码。
## 影响版本
受影响版本为 20.0.2 之前的所有版本。
## 漏洞细节
尽管启用了 `--disallow-code-generation-from-strings` 选项,不受信任的脚本仍与应用程序的其他部分运行在同一 Isolate/process 中。攻击者可以利用原型污染(prototype pollution)攻击,劫持关键引用(如 `process` 对象),或通过篡改未定义属性的检查逻辑来控制程序执行流程。
此漏洞是 CVE-2025-61927 修复不完整的后续问题。
## 影响
攻击者可通过精心构造的恶意脚本实现敏感引用劫持和流程控制,可能导致信息泄露或执行任意代码,威胁应用程序的整体安全性。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-62410 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | None | https://github.com/SubZeroHackerz/CVE-2025-62410 | POC详情 |
三、漏洞 CVE-2025-62410 的情报信息
-
标题: --disallow-code-generation-from-strings is not sufficient for isolating untrusted JavaScript in happy-dom · Advisory · capricorn86/happy-dom · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: fix: [#0] Adds frozen intrinsics flag to server-renderer workers (#1934) · capricorn86/happy-dom@f4bd4eb · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读![fix: [#0] Adds frozen intrinsics flag to server-renderer workers (#1934) · capricorn86/happy-dom@f4bd4eb · GitHub](https://cvepdf.imfht.com:2443//ti_screenshot/2025-10-15/screenshot-full-2025-10-15T19-05-11.825Z-94e8aad80e663624a501.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2025-62410
四、漏洞 CVE-2025-62410 的评论
暂无评论