セキュリティ研究者らは、PDFドキュメント生成に広く使用されているJavaScriptライブラリであるjsPDFに、重大な脆弱性を発見しました。
CVE-2025-68428として追跡されているこの欠陥により、ライブラリのNode.jsビルドを実行するアプリケーションが、ローカルファイルインクルージョン(LFI)およびパストラバーサル攻撃にさらされます。
未修正のまま放置すると、この脆弱性により リモート攻撃者がサーバーのファイルシステムから機密ファイルを読み取り、その内容を生成されるPDFに直接埋め込むことが可能になります。
現実の攻撃シナリオでは、脅威アクターが入力を操作して重要なシステムファイルを参照させる可能性があります。
この攻撃はユーザーの操作や昇格した権限を必要としないため、重大(Critical)の深刻度評価が付与されています。
この欠陥は、特にjsPDFのバージョン3.0.4以前に影響します。クライアント側(ブラウザ)の実装は一般にブラウザのセキュリティモデルによって隔離されていますが、サーバー側のNode.js実装は高いリスクにさらされています。
CVSS 4.0の評価では、攻撃者がNode.jsプロセスからアクセス可能な秘密情報、設定データ、またはソースコードを流出させ得るため、機密性への影響が「高(High)」であることが強調されています。
メンテナはこの問題に対処するため、jsPDFバージョン4.0.0をリリース しました。このメジャーアップデートでは、ファイルシステムへのアクセスを制限することでデフォルトの挙動が変更され、パストラバーサルのベクターが実質的に無効化されます。
開発者には、直ちにバージョン4.0.0へアップグレードすることが強く推奨されます。アップグレードが難しい場合は、次の回避策が推奨されます:
翻訳元: https://cyberpress.org/critical-flaw-in-jspdf-library-allows-attackers-to-read-arbitrary-files/