jsPDF — это библиотека для создания PDF-файлов на JavaScript. До версии 4.2.1 пользовательское управление аргументами метода createAnnotation позволяло пользователям вставлять произвольные объекты PDF, такие как действия JavaScript. Если предоставлена возможность передавать необработанные входные данные в следующий метод, пользователь может вставлять произвольные объекты PDF, такие как действия JavaScript, которые могут срабатывать при открытии PDF-файла или взаимодействии с параметром `createAnnotation`: `color`.
Уязвимость исправлена в jsPDF@4.2.1. В качестве обходного пути очистите вводимые пользователем данные перед передачей их уязвимым членам API.
Показать оригинальное описание (EN)
jsPDF is a library to generate PDFs in JavaScript. Prior to version 4.2.1, user control of arguments of the `createAnnotation` method allows users to inject arbitrary PDF objects, such as JavaScript actions. If given the possibility to pass unsanitized input to the following method, a user can inject arbitrary PDF objects, such as JavaScript actions, which might trigger when the PDF is opened or interacted with the `createAnnotation`: `color` parameter. The vulnerability has been fixed in jsPDF@4.2.1. As a workaround, sanitize user input before passing it to the vulnerable API members.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Parall Jspdf
cpe:2.3:a:parall:jspdf:*:*:*:*:*:node.js:*:*
|
— |
4.2.1
|