CVE-2025-68428 : faille critique dans jsPDF (Node.js) permettant la lecture de fichiers locaux, corrigée en 4.0.0
Selon IT-Connect (08/01/2026), une vulnérabilité critique CVE-2025-68428 affecte jsPDF côté serveur (Node.js), pouvant entraîner une fuite de données via l’inclusion de fichiers locaux dans les PDF générés, avec un correctif publié en version 4.0.0 le 03/01/2026. Produits et surface affectés : seules les versions Node.js de jsPDF sont touchées, via les fichiers dist/jspdf.node.js et dist/jspdf.node.min.js. Les méthodes concernées sont loadFile, addImage, html et addFont. Nature de la vulnérabilité et impact : le NIST indique que si des chemins non sécurisés sont transmis (ex. premier argument contrôlé par un attaquant) à ces méthodes, il est possible de récupérer le contenu de fichiers arbitraires du système où s’exécute le processus Node, et que ce contenu est inclus tel quel dans les PDF générés. Cela peut mener à une fuite d’informations depuis le serveur 📄➡️🔓. ...