parallax jsPDF bis 4.0.x Acroform erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.0 | $0-$5k | 0.00 |
Zusammenfassung
In parallax jsPDF bis 4.0.x wurde eine kritische Schwachstelle ausgemacht. Dabei geht es um die Funktion AcroformChoiceField.addOption/AcroformChoiceField.setOptions/AcroFormCheckBox.appearanceState/AcroFormRadioButton.appearanceState der Komponente Acroform Module. Die Bearbeitung verursacht erweiterte Rechte.
Diese Sicherheitslücke ist unter CVE-2026-24737 bekannt. Der Angriff lässt sich über das Netzwerk starten. Es steht kein Exploit zur Verfügung.
Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine Schwachstelle in parallax jsPDF bis 4.0.x gefunden. Sie wurde als kritisch eingestuft. Hiervon betroffen ist die Funktion AcroformChoiceField.addOption/AcroformChoiceField.setOptions/AcroFormCheckBox.appearanceState/AcroFormRadioButton.appearanceState der Komponente Acroform Module. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-116 vorgenommen. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
jsPDF is a library to generate PDFs in JavaScript. Prior to 4.1.0, user control of properties and methods of the Acroform module allows users to inject arbitrary PDF objects, such as JavaScript actions. If given the possibility to pass unsanitized input to one of the following methods or properties, a user can inject arbitrary PDF objects, such as JavaScript actions, which are executed when the victim opens the document. The vulnerable API members are AcroformChoiceField.addOption, AcroformChoiceField.setOptions, AcroFormCheckBox.appearanceState, and AcroFormRadioButton.appearanceState. The vulnerability has been fixed in [email protected].Auf github.com kann das Advisory eingesehen werden. Die Verwundbarkeit wird seit dem 26.01.2026 unter CVE-2026-24737 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 4.1.0 vermag dieses Problem zu beheben. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches da291a5f01b96282545c9391996702cdb8879f79 beheben. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Aktualisieren auf eine neue Version empfohlen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von CERT Bund (WID-SEC-2026-0553) dokumentiert. If you want to get best quality of vulnerability data, you may have to visit VulDB.
Betroffen
- Red Hat Enterprise Linux
- HCL BigFix
Produkt
Hersteller
Name
Version
Lizenz
Webseite
- Produkt: https://github.com/parallax/jsPDF/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.2VulDB Meta Temp Score: 7.0
VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 8.1
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-116 / CWE-74 / CWE-707
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: jsPDF 4.1.0
Patch: da291a5f01b96282545c9391996702cdb8879f79
Timeline
26.01.2026 CVE zugewiesen03.02.2026 Advisory veröffentlicht
03.02.2026 VulDB Eintrag erstellt
12.03.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-pqxr-3g65-p328
Status: Bestätigt
CVE: CVE-2026-24737 (🔒)
GCVE (CVE): GCVE-0-2026-24737
GCVE (VulDB): GCVE-100-343866
CERT Bund: WID-SEC-2026-0553 - HCL BigFix: Mehrere Schwachstellen
Eintrag
Erstellt: 03.02.2026 07:59Aktualisierung: 12.03.2026 14:17
Anpassungen: 03.02.2026 07:59 (68), 18.02.2026 18:01 (1), 02.03.2026 23:15 (7), 12.03.2026 14:17 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.