Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01175

Опубликовано: 02 фев. 2026
Источник: fstec
CVSS3: 8.1
CVSS2: 9.4
EPSS Низкий

Описание

Уязвимость модуля Acroform прикладного программного интерфейса библиотеки для создания PDF-файлов jsPDF связана с неправильным кодированием или экранированием выходных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный JavaScript-код при открытии специально сформированного PDF-файла

Вендор

Parallax Agency Ltd

Наименование ПО

jsPDF

Версия ПО

до 4.1.0 (jsPDF)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,4)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети для ограничения доступа к уязвимому устройству;
- ограничение возможности открытия PDF-файлов, полученных из недоверенных источников;
- использование средств антивирусного программного обеспечения для анализа PDF-файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с PDF-файлами, полученными из недоверенных источников;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).
Использование рекомендаций:
https://github.com/parallax/jsPDF/releases/tag/v4.1.0

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 1%
0.00011
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2026-24737

CVSS3: 8.1
nvd
6 дней назад

jsPDF is a library to generate PDFs in JavaScript. Prior to 4.1.0, user control of properties and methods of the Acroform module allows users to inject arbitrary PDF objects, such as JavaScript actions. If given the possibility to pass unsanitized input to one of the following methods or properties, a user can inject arbitrary PDF objects, such as JavaScript actions, which are executed when the victim opens the document. The vulnerable API members are AcroformChoiceField.addOption, AcroformChoiceField.setOptions, AcroFormCheckBox.appearanceState, and AcroFormRadioButton.appearanceState. The vulnerability has been fixed in jsPDF@4.1.0.

debian логотип

CVE-2026-24737

CVSS3: 8.1
debian
6 дней назад

jsPDF is a library to generate PDFs in JavaScript. Prior to 4.1.0, use ...

github логотип

GHSA-pqxr-3g65-p328

CVSS3: 8.1
github
6 дней назад

jsPDF has PDF Injection in AcroFormChoiceField that allows Arbitrary JavaScript Execution

EPSS

Процентиль: 1%
0.00011
Низкий

8.1 High

CVSS3

9.4 Critical

CVSS2