Een kritieke kwetsbaarheid in jsPDF, een library om in JavaScript pdf-bestanden te genereren, maakt het mogelijk voor aanvallers om gevoelige informatie van servers te stelen. De impact van de kwetsbaarheid (CVE-2025-68428) is op een schaal van 1 tot en met 10 beoordeeld met een 9.2. JsPDF wordt op grote schaal gebruikt om pdf-documenten in JavaScript-applicaties te genereren. Via npm, de standaard package manager voor de JavaScript-omgeving Node.js, wordt jsPDF bijna vier miljoen keer per week gedownload.

De kwetsbaarheid zorgt ervoor dat invoer van gebruikers wordt doorgegeven als een "file path argument". Een aanvaller kan hier misbruik van maken door jsPDF een specifiek bestand op het lokale file system te laten uitlezen en de inhoud daarvan vervolgens toe te laten voegen aan het te genereren pdf-bestand. Een aanvaller kan zo willekeurige bestanden uitlezen. Dit is vooral een probleem bij organisaties die jsPDF server-side draaien en de applicatie gebruikersinvoer laten verwerken.

"Succesvol misbruik leidt tot het ongeautoriseerd openbaar maken van gevoelige data, waaronder configuratiebestanden, omgevingsvariabelen en andere bestanden die toegankelijk zijn voor het Node.js proces. De inhoud van bestanden wordt letterlijk toegevoegd aan gegenereerde pdf-bestanden, waardoor datadiefstal via normale applicatie-uitvoer mogelijk is. Daardoor moet dit als een kritieke kwetsbaarheid worden beschouwd", stelt securitybedrijf Endor Labs. Het probleem is verholpen in jsPDF 4.0.0, waardoor tot het file system standaard is beperkt.