Sunucu tarafı oluşturma ve test çerçeveleri için kullanılan popüler bir JavaScript kitaplığı olan Happy DOM’da kritik bir güvenlik açığı keşfedildi.
CVE-2025-61927 olarak izlenen kusur, saldırganların sanal makine bağlamından kaçmasına ve etkilenen sistemlerde rastgele kod çalıştırmasına olanak tanıyarak dünya çapında milyonlarca uygulamanın tehlikeye girmesine neden olabilir.
Kritik Sanal Makine Bağlamından Kaçış Güvenlik Açığı
Happy DOM sürüm 19 ve altı, kötü amaçlı JavaScript kodunun amaçlanan sanal alan ortamından çıkmasına izin veren ciddi bir güvenlik zayıflığı içerir.
Güvenlik açığı, güvenilmeyen kod için güvenli bir yürütme ortamı sağlamak üzere tasarlanan Node.js VM bağlamının hatalı şekilde yalıtılmasından kaynaklanıyor.
| CVE Kimliği | Ürün | Şiddet | CVSS Puanı | Etkilenen Sürümler | Yamalı Sürüm |
| CVE-2025-61927 | Mutlu DOM | Kritik | 10.0 (CVSS v4) | < 20 | 20+ |
Güvenlik araştırmacısı Mas0nShi, saldırganların süreç düzeyinde işlevselliğe erişim kazanmak için Function sınıfındaki yapıcı zinciri mirasından yararlanabileceğini keşfetti.
Saldırı tekniği, kod dizelerini yalıtılmış VM bağlamı yerine süreç düzeyinde değerlendirebilen genel İşlev yapıcısına ulaşmak için yapıcı zincirinde yukarı doğru yürümeyi içerir.
Bu kaçış mekanizması, hedef sistemin CommonJS veya ECMAScript modülleri kullanmasına bağlı olarak farklı şekilde çalışır; saldırganların ek modülleri içe aktarmak için require() işlevine erişim elde edebilmesi nedeniyle CommonJS ortamları özellikle savunmasızdır.
Güvenlik açığı, sunucu tarafı işleme uygulamaları ve test çerçeveleri için Happy DOM’a güvenen yaklaşık 2,7 milyon kullanıcıyı etkiliyor.
En yüksek risk altındaki uygulamalar arasında, özellikle güvenilmeyen içeriğin dinamik olarak işlendiği sunucu tarafı işleme senaryolarında, Happy DOM aracılığıyla kullanıcı tarafından kontrol edilen HTML içeriğini işleyen uygulamalar yer alır.
Güvenlik açığı aynı zamanda Happy DOM bağlamlarında güvenilmeyen JavaScript kodu çalıştıran ortamların test edilmesi için de önemli riskler oluşturuyor.
Başarılı bir şekilde yararlanma, saldırganların ortam değişkenlerine ve yapılandırma dosyalarına erişerek veri sızdırma gerçekleştirmesine, ağ bağlantıları üzerinden yanal hareket elde etmesine, alt işlemler aracılığıyla rastgele komutlar yürütmesine ve dosya sistemi erişimi yoluyla kalıcılık oluşturmasına olanak tanır.
Güvenlik açığı maksimum 10,0 CVSS v4 puanı alır; bu, gizlilik, bütünlük ve kullanılabilirlik açısından yüksek etkiye sahip kritik önem derecesini gösterir.
Mutlu DOM bakımcısı Ortner IT Solutions AB, güvenlik kusurunu gidermek, varsayılan olarak devre dışı bırakılan JavaScript değerlendirmesini uygulamak ve potansiyel olarak güvenli olmayan yapılandırmalar için güvenlik uyarıları eklemek üzere sürüm 20’yi yayımladı.
Etkilenen sürümleri kullanan kuruluşların, güvenlik açığını ortadan kaldırmak için derhal Happy DOM v20 veya sonraki sürümüne yükseltme yapması gerekir.
JavaScript değerlendirmesi gerektiren ortamlar için yöneticiler, süreç düzeyinde kod değerlendirmesini önlemek amacıyla “–disallow-code-jenerasyon-from-strings” Node.js işaretini uygulamalıdır.
Hemen yükseltme yapamayan kullanıcılar, yürütülen içeriğe tamamen güvenilmediği sürece Happy DOM içindeki JavaScript değerlendirmesini devre dışı bırakmalıdır.
Yamalı sürüm, gelişmiş güvenlik önlemleri içerir ve kullanıcıları, güvenli olmayan ortamlarda JavaScript değerlendirmesi etkinleştirildiğinde olası riskler konusunda uyarır ve benzer VM kaçış saldırılarına karşı daha iyi koruma sağlar.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.