文章总结： jsPDF库v4.1.0之前版本存在XML注入漏洞CVE-2026-24043，攻击者可通过addMetadata函数注入任意XMP元数据破坏PDF完整性及信任链。建议立即升级至最新版本，并对输入参数实施严格校验以确保安全。 综合评分： 85 文章分类： 漏洞预警,WEB安全,应用安全

【高危漏洞预警】jsPDF XML注入漏洞(CVE-2026-24043)

cexlife cexlife

飓风网络安全

2026年2月3日 17:43 北京

漏洞描述:

јѕPDF是一个用于在JаvаSсriрt中生成PDF的库,在4.1.0版本之前用户可以控制аddMеtаdаtа 函数的第一个参数,从而注入任意 XML。如果允许将未经验证的输入传递给аddMеtаdаtа方法,用户就可以向生成的PDF注入任意XMP元数据,如果生成的PDF 被签名、存储或以其他方式处理后,PDF的完整性将无法再得到保证,该漏洞已在јѕ[email protected]版本中修复

攻击场景:

攻击者可通过控制addMetadata函数的第一个参数向生成的PDF文件注入任意XML内容,从而破坏PDF文件的完整性,若该PDF后续被签名、验证或用于敏感流程可能导致信任链被破坏

影响产品及版本:

jsPDF（JavaScript PDF生成库）,受影响版本为v4.1.0之前的所有版本

目前官方已有可更新版本,建议受影响用户升级至最新版本

建议措施:

立即升级：将所有项目中的jsPDF库升级至v4.1.0或更高版本

依赖扫描：使用代码扫描工具或依赖管理工具扫描项目依赖,识别并修复旧版本jsPDF

输入过滤：若因兼容性无法升级,应手动对addMetadata函数的输入参数进行严格校验,禁止传入未经净化的用户输入

安全策略：在PDF生成流程中增加签名验证机制,确保生成文件未被篡改

日志监控：监控PDF生成行为,识别异常元数据注入尝试

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 cexlife cexlife《【高危漏洞预警】jsPDF XML注入漏洞(CVE-2026-24043)》