jsPDF库曝严重安全漏洞,CVSS评分9.2,官方发布4.0.0版本修复
事件概述:科技媒体报道,广泛使用的JavaScript PDF生成库jsPDF(每周npm下载量超350万次)被曝严重安全漏洞(CVE-2025-68428),CVSS评分高达9.2,官方已发布4.0.0版本修复该问题。
漏洞详情:
- 漏洞类型:核心为本地文件包含(LFI)与路径遍历缺陷,攻击者可通过操纵文件路径读取服务器本地敏感数据(如
/etc/passwd或配置文件)。 - 影响范围:主要影响jsPDF的Node.js构建版本(如
dist/jspdf.node.js等文件),波及loadFile、addImage、html、addFont等文件加载相关方法。 - 风险危害:攻击者利用未经“清洗”的用户输入,可将路径指向系统敏感文件,导致机密信息泄露。
修复措施与建议:
- 版本修复:jsPDF 4.0.0版本通过限制文件系统访问权限、依赖Node.js权限模型管理文件读取操作,从根源上修复漏洞。
- 环境升级:由于Node.js 20中的权限模型仍处于实验阶段,安全专家建议开发者将运行环境升级至Node.js 22.13.0、23.5.0或24.0.0及更高版本,以确保修复方案稳定生效。
- 旧项目应对:无法立即升级Node.js的旧项目,需在传递用户输入至库函数前进行严格的输入验证和清洗,避免路径遍历攻击。
- 注意事项:启用Node.js权限模型时,需谨慎使用
--permission标志,避免权限设置过宽(如过度开放文件系统读取权限),抵消补丁修复效果。
(注:该漏洞主要影响Node.js构建版本,浏览器端(客户端)版本暂未提及受影响。)
一站式数字化解决方案服务商 —— 专业提供软件开发、网站设计、APP 与小程序开发,搭载低费率支付通道,结合创意广告设计,助力企业全链路数字化升级。
- 使用本网站请联系客服
- 点击关注微信公众号:乐鱼网络
- 点击-在线客服