В известной библиотеке JavaScript jsPDF, предназначенной для генерации PDF-документов, обнаружена серьезная уязвимость, получившая идентификатор CVE-2025-68428 и оценку 9,2 по шкале CVSS. Уязвимость типа local file inclusion и path traversal позволяет злоумышленникам внедрять произвольные пути к файлам, добавляя содержимое локальной файловой системы в создаваемые документы.
Проблема затрагивает версии jsPDF для Node.js до 4.0.0. В этих сборках используется функция loadFile, которая может считывать файлы из файловой системы. Если путь к файлу формируется на основе пользовательского ввода, злоумышленник может указать системные файлы. Уязвимость касается не только loadFile, но и функций addImage, html и addFont.
Разработчики сообщают, что уязвимость устранена в версии 4.0.0, однако рекомендуется обновить Node.js до более новых версий. Важно следить за безопасностью, особенно в сценариях с пользовательским вводом, чтобы избежать эксплойта данной уязвимости.
tasani.ru

