Több funkció is veszélyes lehet
Nemcsak a loadFile funkció, hanem az addImage, html és addFont metódusok is veszélyeztetettek, mivel mind képesek meghívni a problémás loadFile-t. A gond csak a dist/jspdf.node.js és dist/jspdf.node.min.js fájlverziókat érinti. A veszély akkor áll fenn, ha a PDF-et generáló alkalmazás felhasználói bemenetből dolgozik, azaz a betöltendő útvonalak nincsenek előre ellenőrizve.
Javítás és megelőzés
A hiba a 4.0.0 verzióban lett orvosolva, ahol az alapértelmezett beállítás már korlátozza a fájlrendszer elérését, és bevezeti a Node.js-engedélyalapú működést. Fontos azonban, hogy ez az üzemmód csak kísérleti a Node 20-ban, ezért érdemes legalább a 22.13.0, 23.5.0 vagy 24.0.0 változatra frissíteni. Figyelni kell arra is, hogy ha túl tág jogosultságokat adunk a ‘–allow-fs-read’ kapcsolóval, az semmissé teheti a javítás hatását. Régebbi Node-verzióknál mindenképpen javasolt a felhasználói bemenetként megadott elérési utak szűrése, nehogy támadás érje a rendszert. Az elterjedtség miatt aktív támadások várhatók, így érdemes mielőbb lépéseket tenni.
