CVE-2026-31938 in jsPDFinformazioni

Riassunto

di VulDB • 14/06/2026

jsPDF è una libreria per la generazione di PDF in JavaScript. Prima della versione 4.2.1, il controllo da parte dell'utente dell'argomento `options` della funzione `output` consente agli attaccanti di iniettare HTML arbitrario (ad esempio script) nel contesto del browser in cui viene aperto il PDF creato. La vulnerabilità può essere sfruttata nel seguente scenario: l'attaccante fornisce valori per le opzioni di output, ad esempio tramite un'interfaccia web. Questi valori vengono quindi passati non sanificati (automaticamente o semi-automaticamente) alla vittima dell'attacco. La vittima crea e apre un PDF contenente il vettore di attacco utilizzando uno dei metodi sovraccaricati vulnerabili all'interno del proprio browser. L'attaccante può così iniettare script che vengono eseguiti nel contesto del browser della vittima e possono estrarre o modificare segreti presenti in tale contesto. La vulnerabilità è stata risolta in [email protected]. Come soluzione alternativa, sanificare l'input utente prima di passarlo al metodo output.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

10/03/2026

Divulgazione

18/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00264

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!