jsPDF是一个流行的JavaScript库,用于在浏览器中直接生成PDF文档。它提供了简单的API,让你能够通过代码创建包含文本、图片、表格等内容的PDF文件,并支持自定义样式和布局。
【漏洞信息】
1、jsPDF目录穿越导致本地文件包含漏洞(CVE-2025-68428) | |||
漏洞类型 | 目录遍历 | 漏洞危害等级 | 高危 |
CVE编号 | CVE-2025-68428 | CNVD编号 | 未分配 |
POC情况 | 已发现 | EXP情况 | 未发现 |
在野利用情况 | 未发现 | 研究情况 | 已复现 |
影响版本 | |||
jspdf <= 3.0.4 | |||
危害描述 | 在4.0.0版本之前,node.js构建版本中loadFile方法的第一个参数受到用户控制,允许本地文件包含/路径遍历。如果用户有机会将未经清理的路径传递给loadFile方法,攻击者可以读取node进程运行所在本地文件系统中任意文件的内容。这些文件内容将原样包含在生成的PDF中。 | ||
【修复方案】
官方已发布修复方案,受影响的用户建议更新至安全版本。该漏洞已在jsPDF 4.0.0中修复。
https://github.com/parallax/jsPDF/releases/tag/v4.0.0
