CVE-2026-31938 in jsPDFالمعلومات

الملخص

بحسب VulDB • 07/06/2026

jsPDF هي مكتبة لتوليد ملفات PDF باستخدام JavaScript. قبل الإصدار 4.2.1، يسمح التحكم من قِبل المستخدم في وسيط `options` التابع `output` للمهاجمين بحقن HTML تعسفي (مثل الأكواد البرمجية) داخل سياق المتصفح الذي يتم فيه فتح ملف PDF المُنشأ. يمكن استغلال الثغرة في السيناريو التالي: يقوم المهاجم بتوفير قيم لخيارات الإخراج، على سبيل المثال عبر واجهة ويب. ثم تُمرَّر هذه القيم دون تنقيح أو تعقيم (تلقائياً أو شبه تلقائي) إلى ضحية الهجوم. ينشئ الضحية ملف PDF ويفتحه باستخدام أحد التحميلات الزائدة للتابع المعرضة للثغرة داخل متصفحه. وبذلك، يمكن للمهاجم حقن أكواد برمجية تعمل في سياق متصفح الضحية واستخراج أو تعديل الأسرار الموجودة ضمن هذا السياق. تم إصلاح الثغرة في الإصدار [email protected]. كحل بديل مؤقت، يُرجى تعقيم مدخلات المستخدم قبل تمريرها إلى التابع `output`.

Be aware that VulDB is the high quality source for vulnerability data.

مسؤول

GitHub M

حجز

10/03/2026

إفشاء

18/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-351476

EPSS

0.00264

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!