jsPDF曝9.2版漏洞:周下载350万次,PDF可窃取敏感数据
1月8日消息,科技媒体bleepingcomputer昨日发布报告称,当前极受欢迎的Javascript PDF生成库jsPDF近期曝出一个严重安全漏洞,被标记为CVE-2025-68428。该漏洞的CVSS严重性评分高达9.2分,目前官方已在最新发布的4.0.0版本中修复了此问题。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
需要了解的是,jsPDF是一个功能强大的开源JavaScript库,其在npm注册表上的每周下载量超过350万次,应用非常广泛。
该库允许开发者直接在浏览器端(即客户端)生成PDF文件,无需依赖后端服务器。它支持添加文本、图片、形状、表格,并可将HTML内容转换为PDF,非常适合需要动态生成报表、发票等文档的前端应用。通过其直观的API,开发者可以进行文本格式设置、图像插入、多页处理、自动分页和样式自定义等丰富操作。
此次曝光的漏洞追踪编号为CVE-2025-68428,其严重程度评分高达9.2分。漏洞的核心在于本地文件包含(LFI)与路径遍历缺陷。攻击者利用此缺陷可读取服务器本地文件系统中的敏感数据,并将其直接包含在生成的PDF文件中导出,从而导致机密信息泄露。
该漏洞主要影响jsPDF的Node.js构建版本(即dist/jspdf.node.js等文件)。问题出在loadFile等文件加载机制上。
当应用程序将未经“清洗”的用户输入直接作为文件路径传递给jsPDF后,攻击者便可操纵路径指向系统敏感文件(如/etc/passwd或各类配置文件)。除loadFile外,addImage、html和addFont等调用文件加载的方法也受波及。
维护团队已在jsPDF 4.0.0版本中修复该漏洞。新版本默认限制了文件系统访问权限,转而依赖Node.js的权限模型来管理文件读取操作。
然而,安全公司Endor Labs的研究人员指出,该权限模型在Node.js 20中仍处于实验阶段。因此,专家建议开发者将运行环境升级至Node.js 22.13.0、23.5.0或24.0.0及更高版本,以确保修复方案稳定生效。
Endor Labs同时警告,单纯升级库版本并非万无一失。开发者在启用修复方案建议的--permission标志时需格外小心,因为该标志会影响整个Node.js进程。若在配置--allow-fs-read(允许文件系统读取)时权限设置过宽,可能会抵消补丁的修复效果,导致系统再次暴露于风险之中。
对于无法立即升级Node.js版本的旧项目,jsPDF团队建议在将用户提供的路径传递给库函数之前,必须进行严格的输入验证和清洗。
Endor Labs的报告也补充说明,如果文件路径是硬编码的、来自受信任的配置源,或输入经过了严格的白名单过滤,可以大幅降低该漏洞的被利用风险。
相关攻略
打开浏览器就能直接走进一个逼真的 3D 世界,还能像玩游戏一样自由旋转角度,更能看清每一个物体的细节,甚至还能看到会动的虚拟人向你招手。这上海交通大学人工智能学院钟志航副教授和上海人工智能实验室等合
1 月 8 日消息,科技媒体 bleepingcomputer 昨日(1 月 7 日)发布博文,报道称广泛使用的 JavaScript PDF 生成库 jsPDF 近期报告严重安全漏洞(CVE-2
10 月 6 日消息,科技媒体 borncity 昨日(10 月 5 日)发布博文,报道称多位 Adobe Reader 用户反馈,在安装最新 9 月 27 日发布的 25 001 20744 版
pdf文件用什么打开?PDF文件是一种非常实用的文档格式,它不仅可以保留文本、图像和格式,还可以在不同设备上进行共享和存档。因此,PDF文件成为了人们查看和分享各种类型文档的首选格式。下面就来给大家
用 deepseek 满血版和 aipdf editor 联合编辑 pdf 的核心优势在于既能理解内容又能实际修改。1 aipdf editor 支持文字替换、图片插入、页面调整
热门专题
热门推荐
猎豹浏览器免安装网页版入口是https: web lemur-browser com,具备界面简洁响应迅速、多端同步无缝衔接、安全防护层级丰富、文档处理能力突出、资源兼容性广泛覆
据昆仑万维集团消息,3月27日下午,昆仑万维(300418 SZ)旗下天工AI顺利举办“世界模型前沿技术与天工AIGC全家桶大模型生态”专场发布会,携Matrix-Game 3 0、SkyReels
本报(chinatimes net cn)记者石飞月 北京报道大模型未来会走向哪里?OpenClaw的爆火似乎为全行业指明了一个方向,但接踵而至的舆论质疑,又让这个答案变得扑朔迷离。3月27日,在2
Anthropic一款尚未发布的新AI模型因数据泄露意外曝光,引发市场对AI颠覆网络安全行业的担忧再度升温,网络安全板块股价周五盘前全线下挫。据《财富》杂志报道,Anthropic正在开发并已开始向
3月初,腾讯在深圳总部楼下设立“龙虾站”,引发千人排队尝鲜。OpenClaw掀起的“全民养虾”热潮,在短短一个月内让更多人看到了AI Agent深入业务场景的价值,随即推动Token调用量大规模增长