Selon IT-Connect (08/01/2026), une vulnérabilité critique CVE-2025-68428 affecte jsPDF côté serveur (Node.js), pouvant entraîner une fuite de données via l’inclusion de fichiers locaux dans les PDF générés, avec un correctif publié en version 4.0.0 le 03/01/2026.

  • Produits et surface affectés : seules les versions Node.js de jsPDF sont touchées, via les fichiers dist/jspdf.node.js et dist/jspdf.node.min.js. Les méthodes concernées sont loadFile, addImage, html et addFont.

  • Nature de la vulnérabilité et impact : le NIST indique que si des chemins non sécurisés sont transmis (ex. premier argument contrôlé par un attaquant) à ces méthodes, il est possible de récupérer le contenu de fichiers arbitraires du système où s’exécute le processus Node, et que ce contenu est inclus tel quel dans les PDF générés. Cela peut mener à une fuite d’informations depuis le serveur 📄➡️🔓.

  • Probabilité d’exploitation : les chercheurs d’Endor Labs estiment que l’exploitation est peu probable et dépend fortement de la qualité du code, notamment si les chemins sont codés en dur ou proviennent de sources fiables, ce qui réduit le risque.

  • Correctif et exigences : la faille est corrigée en jsPDF 4.0.0, qui restreint par défaut l’accès au système de fichiers. Cette version nécessite Node.js en mode autorisation (introduit de façon expérimentale en 20.0.0 et stable depuis 22.13.0/23.5.0/24.0.0), avec l’approche recommandée d’utiliser le paramètre –permission à l’exécution. Les versions antérieures sont vulnérables.

  • Contexte et avertissement : bien qu’aucune exploitation n’ait été rapportée au moment de la publication et que l’exploitation ne soit pas jugée évidente, jsPDF étant très populaire (3,5+ millions de téléchargements hebdomadaires sur NPM), Endor Labs recommande aux organisations utilisant jsPDF côté serveur et exposant ces méthodes aux entrées utilisateur de traiter ce point comme une mesure corrective hautement prioritaire.

IOCs et TTPs:

  • IOCs : non mentionnés.
  • TTPs :
    • Lecture de fichiers arbitraires via injection de chemins dans loadFile/addImage/html/addFont.
    • Exfiltration de données par inclusion des contenus locaux dans le PDF généré.
    • Contrainte d’exécution avec Node.js permission mode et –permission pour limiter l’accès FS.

Type d’article: article de veille/explication visant à informer sur une vulnérabilité et son correctif.

🔗 Source originale : https://www.it-connect.fr/faille-critique-jspdf-cve-2025-68428/