jsPDF程式庫爆嚴重漏洞，駭客恐藉此竊取機敏資料

廣泛用於 JavaScript 應用程式產生 PDF 文件的 jsPDF 程式庫，近期傳出存在重大安全漏洞。攻擊者可利用此漏洞，將本地檔案系統中的敏感資料嵌入產生的 PDF 檔案中竊取。

此漏洞為本機檔案包含（Local File Inclusion）與路徑遍歷（Path Traversal）缺陷，編號 CVE-2025-68428，嚴重性評分高達 9.2 分。漏洞影響 jsPDF 4.0 之前的所有版本。攻擊者可將未經過濾的路徑傳遞給檔案載入機制（loadFile）發動攻擊。

jsPDF 在 npm 套件管理庫中每週下載量超過 350 萬次，使用範圍廣泛，此漏洞的潛在影響不容小覷。

漏洞成因與影響範圍

在 jsPDF 的 Node.js 版本中，loadFile 函式負責讀取本地檔案系統。當使用者可控制的輸入作為檔案路徑傳入時，問題便會發生：jsPDF 會將該檔案的內容嵌入產生的 PDF 輸出中，導致機敏資料外洩。

除了 loadFile 之外，addImage、html 和 addFont 等檔案載入方法也受到影響，因為它們都可能呼叫 loadFile 函式。根據 jsPDF 的安全公告,此問題僅影響 Node.js 版本的程式庫，具體為 dist/jspdf.node.js 和 dist/jspdf.node.min.js 兩個檔案。

應用程式安全業者 Endor Labs 在技術報告中指出，若檔案路徑是寫死在程式碼中、來自可信任的設定檔，或採用嚴格的白名單驗證輸入，遭受攻擊的風險將大幅降低甚至不存在。

修補方案與注意事項

jsPDF 4.0.0 版本已修復 CVE-2025-68428 漏洞，修補方式為預設限制檔案系統存取權限，並改採 Node.js 的權限模式（Permission Mode）。

不過 Endor Labs 研究人員提醒，這個模式在 Node.js 20 版本中仍屬實驗性功能，建議使用 Node.js 22.13.0、23.5.0 或 24.0.0 以上版本。此外，開發者建議的 permission 旗標雖可作為臨時解決方案，但會影響整個 Node.js 程序，而非僅限於 jsPDF，使用時需特別注意。

Endor Labs 也強調，若在 allow-fs-read 設定旗標中加入過於寬鬆的檔案系統權限，將使修補失效。針對使用較舊版本 Node.js 的用戶，jsPDF 團隊建議在將使用者提供的路徑傳遞給 jsPDF 之前，先進行適當的清理和驗證。

由於 jsPDF 在眾多專案中被廣泛使用，CVE-2025-68428 很可能成為駭客的攻擊目標。建議開發團隊儘速評估影響範圍並更新至安全版本。

本文轉載自 BleepingComputer。