文章总结： jsPDF前端PDF生成库被曝两个高危漏洞：CVE-2026-24737（CVSS8.1）允许通过AcroForm模块注入恶意JavaScript代码；CVE-2026-24133（CVSS8.7）是BMP解码器中的DoS漏洞，特殊图片可致内存耗尽崩溃。官方建议立即升级至4.1.0以上版本，无法升级时需严格验证用户输入。 综合评分： 78 文章分类： 漏洞预警,WEB安全,安全开发,漏洞分析,应用安全

jsPDF库两大漏洞可致代码注入与系统崩溃，千万开发者需立即升级

看雪学苑 看雪学苑

看雪学苑

2026年2月6日 17:59 上海

近日，备受开发者欢迎的前端PDF生成库jsPDF被曝出两个高危安全漏洞。利用这些漏洞，攻击者可向PDF文档中注入恶意代码，或通过一张特殊图片导致应用程序或浏览器标签页崩溃。安全专家强烈建议所有使用该库的开发者立即采取行动。

这两个漏洞编号分别为CVE-2026-24737（CVSS评分8.1）和CVE-2026-24133（CVSS评分8.7），均存在于旧版本中。

漏洞一：通过PDF表单工具实现代码注入

第一个漏洞（CVE-2026-24737）出现在库的AcroForm模块中，该模块用于为PDF添加复选框、单选按钮等交互式表单字段。问题的核心在于，如果应用程序未对用户输入进行严格过滤，攻击者便能够操控相关API属性，向PDF文档中注入任意PDF对象（包括恶意JavaScript代码）。

这意味着，一旦用户打开由攻击者恶意构造的PDF文档，其中隐藏的脚本便可能自动执行，窃取用户数据或进行未授权操作，风险极高。

漏洞二：一张“图片炸弹”即可引发程序崩溃

第二个漏洞（CVE-2026-24133）是一个典型的拒绝服务（DoS）漏洞，位于BMP图片解码器中。攻击者只需构造一张“特殊”的BMP格式图片，在其文件头中嵌入异常巨大的宽度或高度值。

当jsPDF的addImage方法尝试处理这张“图片炸弹”时，会触发过度的内存分配，最终导致应用程序或浏览器标签因内存不足而崩溃。这为攻击者提供了一种通过上传图片或特定链接就能瘫痪服务的简易途径。

解决方案：立即升级至安全版本

jsPDF维护团队已在新版本中修复了上述漏洞。官方强烈建议所有开发者立即将项目中的jsPDF升级至4.1.0或更高版本。

对于无法立即升级的用户，唯一可行的缓解措施是实施极其严格的输入验证。务必在将用户提供的数据（尤其是表单字段内容和图片文件）传递给jsPDF相关API前，进行充分的清理和校验，切勿直接信任未经处理的用户输入。

参考来源：

本文安全通告内容基于jsPDF官方发布的安全更新及漏洞披露信息。建议开发者参考官方Git仓库的发布页面与安全公告，以获取最准确的技术细节和修复指导。

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《jsPDF库两大漏洞可致代码注入与系统崩溃，千万开发者需立即升级》