Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-03346

Опубликовано: 17 мар. 2026
Источник: fstec
CVSS3: 9.6
CVSS2: 9.7
EPSS Низкий

Описание

Уязвимость функции output() библиотеки для создания PDF-файлов jsPDF связана с непринятием мер по защите структуры веб-страницы при обработке параметра options. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код при условии открытия пользователем специально сформированного PDF-файла

Вендор

Parallax Agency Ltd

Наименование ПО

jsPDF

Версия ПО

до 4.2.1 (jsPDF)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9,7)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удалённого доступа к уязвимому программному обеспечению;
- сегментирование сети для ограничения доступа к уязвимому программному обеспечению;
- ограничение возможности открытия файлов, полученных из недоверенных источников;
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет).
Использование рекомендаций:
https://github.com/parallax/jsPDF/releases/tag/v4.2.1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 12%
0.0004
Низкий

9.6 Critical

CVSS3

9.7 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2026-31938

CVSS3: 8.1
redhat
9 дней назад

A flaw was found in jsPDF, a JavaScript library for generating PDFs. A remote attacker can exploit this vulnerability by providing malicious input to the `options` argument of the `output` function. When a victim creates and opens a PDF using this unsanitized input, arbitrary HTML, including scripts, can be injected and executed within the victim's browser context. This Cross-Site Scripting (XSS) vulnerability allows the attacker to extract or modify sensitive information from the victim's browser.

nvd логотип

CVE-2026-31938

CVSS3: 9.6
nvd
9 дней назад

jsPDF is a library to generate PDFs in JavaScript. Prior to version 4.2.1, user control of the `options` argument of the `output` function allows attackers to inject arbitrary HTML (such as scripts) into the browser context the created PDF is opened in. The vulnerability can be exploited in the following scenario: the attacker provides values for the output options, for example via a web interface. These values are then passed unsanitized (automatically or semi-automatically) to the attack victim. The victim creates and opens a PDF with the attack vector using one of the vulnerable method overloads inside their browser. The attacker can thus inject scripts that run in the victims browser context and can extract or modify secrets from this context. The vulnerability has been fixed in jspdf@4.2.1. As a workaround, sanitize user input before passing it to the output method.

debian логотип

CVE-2026-31938

CVSS3: 9.6
debian
9 дней назад

jsPDF is a library to generate PDFs in JavaScript. Prior to version 4. ...

github логотип

GHSA-wfv2-pwc8-crg5

CVSS3: 9.6
github
10 дней назад

jsPDF has HTML Injection in New Window paths

EPSS

Процентиль: 12%
0.0004
Низкий

9.6 Critical

CVSS3

9.7 Critical

CVSS2