jsPDF修補重大漏洞，Node.js環境恐遭濫用竊取本機敏感資料

漏洞簡介

廣泛用於JavaScript應用程式產生PDF文件的函式庫jsPDF，近日被揭露存在一項重大資安漏洞，主要影響在伺服器端使用jsPDF產生PDF文件的應用情境。攻擊者可能透過不當的檔案載入機制，未經授權讀取並外洩伺服器本機檔案系統中的敏感資料。

該漏洞已被編號為CVE-2025-68428，CVSS風險分數高達9.2，屬於極高風險類別。

當應用程式在Node.js環境中，將未經妥善驗證的檔案路徑作為參數，傳入jsPDF的loadFile方法時，攻擊者可能讀取Node.js處理程序權限範圍內可存取的本機檔案。
攻擊者可傳送系統檔案的路徑，而非圖片，進而竊取伺服器上的敏感資料。

jsPDF維護團隊已在jsPDF 4.0.0版本中修補此漏洞。新版本已預設限制文件系統訪問權限，並轉而依賴Node.js的權限模型來管理文件讀取操作。

此漏洞主要影響使用Node.js版本的jsPDF應用程式，尤其在伺服器端產生PDF文件的場景。