文章总结： jsPDF库4.0.0之前版本存在高危本地文件包含漏洞CVE-2025-68428，攻击者可通过控制loadFile等方法参数读取Node.js进程本地文件。建议立即升级至v4.0.0版本，旧版本需严格过滤路径输入并利用Node.js权限模型限制文件访问，同时监控异常请求。 综合评分： 88 文章分类： 漏洞预警,WEB安全,漏洞分析,应用安全,安全开发

【高危漏洞预警】jsPDF本地文件包含漏洞CVE-2025-68428

cexlife

飓风网络安全

2026年1月7日 23:56 北京

漏洞描述:

јѕPDF是一个在JаvаSсriрt中生成PDF的库,该库在4.0.0版本之前,nоdе.јѕ构建中的lоаdFilе方法的第一个参数允许用户控制,从而导致本地文件包含或路径遍历,如果用户可以传递未经过清理的路径给lоаdFilе方法,那么他们可以检索到nоdе进程运行的本地文件系统中任意文件的内容,这些文件内容会被原封不动地包含在生成的PDF中,其他受影响的方法包括аddImаɡе、html和аddFоnt,只有库的nоdе.јѕ构建版本受到影响,即diѕt/јѕрdf.nоdе.јѕ和diѕt/јѕрdf.nоdе.minјѕ文件

影响产品:

jsPDF < 4.0.0

检测方法:

检查jsPDF库是否已更新至4.0.0版本或以上,以及是否正确实施了用户输入的清理措施

利用条件:

攻击者需要能够控制传递给loadFile方法的参数

修复建议:

补丁名称:

јѕPDF 本地文件包含漏洞的补丁— 更新至最新版本4.0.0

文件链接:

https://github.com/parallax/jsPDF/releases/tag/v4.0.0

建议措施:

立即升级:所有使用 jsPDF 的项目应升级至v4.0.0或更高版本,该版本已默认禁用文件系统访问。

临时缓解方案:

对于无法升级的旧版本，必须在将用户输入传递给 loadFile、addImage 等方法前，对路径进行严格过滤，禁止包含 ../、..\、/etc/、C:\Windows 等敏感路径

使用白名单机制，仅允许特定目录下的文件被加载。

运行时防护：

对于Node.js环境,若使用v20.0.0及以上版本,建议启用–no-permission或–allow-fs-read 权限控制，限制文件系统访问。

在生产环境中启用 –no-permission 标志以禁用默认文件系统访问权限（自 v22.13.0+ 起稳定支持）。

日志监控与审计:监控 PDF 生成接口中是否存在异常路径请求，如频繁访问 /etc/passwd、C:\Windows\system32\drivers\etc\hosts 等敏感文件

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife《【高危漏洞预警】jsPDF本地文件包含漏洞CVE-2025-68428》