A jsPDF kritikus hibája miatt érzékeny adatok szivároghatnak ki

A népszerű jsPDF könyvtárban egy kritikus sérülékenységre derült fény, amely lehetővé teszi támadók számára, hogy érzékeny adatokat lopjanak el a helyi fájlrendszerről a generált PDF-fájlokon keresztül. A hiba lényege, hogy a könyvtár útvonal-bejárási (path traversal) és helyi fájlbeillesztési problémában szenved – azaz felhasználói bemenetként megadott fájlútvonalakon keresztül hozzáférhet más fájlok tartalmához. Ez a sérülékenység 9,2-es súlyossági pontszámot kapott, és különösen a Node.js-hez készült verziókat érinti a 4.0-s frissítés előtt.

Több funkció is veszélyes lehet

Nemcsak a loadFile funkció, hanem az addImage, html és addFont metódusok is veszélyeztetettek, mivel mind képesek meghívni a problémás loadFile-t. A gond csak a dist/jspdf.node.js és dist/jspdf.node.min.js fájlverziókat érinti. A veszély akkor áll fenn, ha a PDF-et generáló alkalmazás felhasználói bemenetből dolgozik, azaz a betöltendő útvonalak nincsenek előre ellenőrizve.

Javítás és megelőzés

A hiba a 4.0.0 verzióban lett orvosolva, ahol az alapértelmezett beállítás már korlátozza a fájlrendszer elérését, és bevezeti a Node.js-engedélyalapú működést. Fontos azonban, hogy ez az üzemmód csak kísérleti a Node 20-ban, ezért érdemes legalább a 22.13.0, 23.5.0 vagy 24.0.0 változatra frissíteni. Figyelni kell arra is, hogy ha túl tág jogosultságokat adunk a ‘–allow-fs-read’ kapcsolóval, az semmissé teheti a javítás hatását. Régebbi Node-verzióknál mindenképpen javasolt a felhasználói bemenetként megadott elérési utak szűrése, nehogy támadás érje a rendszert. Az elterjedtség miatt aktív támadások várhatók, így érdemes mielőbb lépéseket tenni.

2025, adrienne, www.bleepingcomputer.com alapján