文章总结： jsPDF库曝出高危漏洞CVE-2025-68428，CVSS评分9.2，影响Node.js环境下低于4.0.0的版本。漏洞源于未严格过滤文件路径，攻击者可通过路径遍历读取服务器密钥及配置文件。建议开发者立即升级至4.0.0版本，或使用Node.js权限模式及输入验证进行防护。 综合评分： 84 文章分类： 漏洞预警,WEB安全,应用安全

jsPDF 高危漏洞可窃取服务器密钥及配置文件

安融技术

安融技术

2026年1月8日 11:36 广东

jsPDF是一个广泛应用于 Web 及 Node.js 环境的开源PDF 生成库。该库由 Parallax 团队开发维护，支持在浏览器端和服务器端生成 PDF 文件，并提供丰富的 API 用于添加文本、图像及字体等内容。jsPDF 在前端开发和后端服务中被大量使用，常用于动态生成报表、发票和证书。由于该库的Node.js 版本具备文件系统访问能力，可用于加载本地资源，该特性也成为了本次漏洞的攻击入口。

jsPDF周下载量超350万次，影响范围广泛，建议所有开发者立刻排查。

漏洞概述：

CVE-2025-68428 是2026年1月披露的一个高危路径遍历漏洞，影响广受欢迎的JavaScript PDF生成库jsPDF。该漏洞CVSS v4.0评分高达 9.2，属于关键级别。

漏洞类型：本地文件包含（LFI）+ 路径遍历（Path Traversal）

披露时间：2026年1月3日

影响范围：jsPDF版本 < 4.0.0 （主要为Node.js环境）

漏洞原理：

此漏洞源于 jsPDF (Node.js构建版) 的部分方法（loadFile, addImage, html, addFont）未对用户传入的文件路径进行严格的过滤与校验。远程攻击者可构造包含路径遍历序列（如../）的恶意请求，绕过预期的资源目录限制，读取服务器上的敏感文件（如配置文件、密钥等），并将文件内容嵌入到生成的 PDF 文档中。由于该漏洞利用门槛较低，无需特殊权限或用户交互，因此具有较高的安全风险。

攻击示例：

关键点：文件类型参数（如”JPEG”）不会阻止非图片文件的读取，库会读取任意指定文件并原样嵌入PDF。

修复方案：

1.立即升级（首选）

注意：4.0.0版本默认限制文件系统访问，但不会引入其他破坏性变更。

2. Node.js权限模式（Node ≥ v22.13.0）

对于无法立即升级的情况，使用–permission 标志限制文件系统访问：

3. 输入验证（旧版本Node.js）

如果无法升级Node.js版本，必须手动清洗用户输入：

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安融技术 安融技术《jsPDF 高危漏洞可窃取服务器密钥及配置文件》