CVE-2025-68428 : faille critique dans jsPDF (Node.js) permettant la lecture de fichiers locaux, corrigée en 4.0.0
Selon IT-Connect (08/01/2026), une vulnĂ©rabilitĂ© critique CVE-2025-68428 affecte jsPDF cĂŽtĂ© serveur (Node.js), pouvant entraĂźner une fuite de donnĂ©es via lâinclusion de fichiers locaux dans les PDF gĂ©nĂ©rĂ©s, avec un correctif publiĂ© en version 4.0.0 le 03/01/2026. Produits et surface affectĂ©s : seules les versions Node.js de jsPDF sont touchĂ©es, via les fichiers dist/jspdf.node.js et dist/jspdf.node.min.js. Les mĂ©thodes concernĂ©es sont loadFile, addImage, html et addFont. Nature de la vulnĂ©rabilitĂ© et impact : le NIST indique que si des chemins non sĂ©curisĂ©s sont transmis (ex. premier argument contrĂŽlĂ© par un attaquant) Ă ces mĂ©thodes, il est possible de rĂ©cupĂ©rer le contenu de fichiers arbitraires du systĂšme oĂč sâexĂ©cute le processus Node, et que ce contenu est inclus tel quel dans les PDF gĂ©nĂ©rĂ©s. Cela peut mener Ă une fuite dâinformations depuis le serveur đâĄïžđ. ...