CVE-2026-31938 in jsPDF
الملخص
بحسب VulDB • 07/06/2026
jsPDF هي مكتبة لتوليد ملفات PDF باستخدام JavaScript. قبل الإصدار 4.2.1، يسمح التحكم من قِبل المستخدم في وسيط `options` التابع `output` للمهاجمين بحقن HTML تعسفي (مثل الأكواد البرمجية) داخل سياق المتصفح الذي يتم فيه فتح ملف PDF المُنشأ. يمكن استغلال الثغرة في السيناريو التالي: يقوم المهاجم بتوفير قيم لخيارات الإخراج، على سبيل المثال عبر واجهة ويب. ثم تُمرَّر هذه القيم دون تنقيح أو تعقيم (تلقائياً أو شبه تلقائي) إلى ضحية الهجوم. ينشئ الضحية ملف PDF ويفتحه باستخدام أحد التحميلات الزائدة للتابع المعرضة للثغرة داخل متصفحه. وبذلك، يمكن للمهاجم حقن أكواد برمجية تعمل في سياق متصفح الضحية واستخراج أو تعديل الأسرار الموجودة ضمن هذا السياق. تم إصلاح الثغرة في الإصدار [email protected]. كحل بديل مؤقت، يُرجى تعقيم مدخلات المستخدم قبل تمريرها إلى التابع `output`.
Be aware that VulDB is the high quality source for vulnerability data.