Kritická zranitelnost v jsPDF, CVE-2025-68428

Vládní CERT (GovCERT.CZ) upozorňuje (𝕏) na kritickou zranitelnost v jsPDF, CVE-2025-68428. Tato zranitelnost umožňuje neautentizovaným vzdáleným útočníkům číst libovolné soubory z lokálního souborového systému serveru při použití jsPDF v prostředí Node.js. Problém vzniká kvůli nedostatečné validaci vstupu u cest k souborům předávaných několika metodám jsPDF. Útočník může zneužít tuto chybu k exfiltraci citlivých souborů, jako jsou konfigurační tajemství, přihlašovací údaje nebo aplikační data, a vložit je přímo do generovaných PDF dokumentů, což má závažný dopad na důvěrnost.

Javascript nedávno svévolně přidaný do PDF formátu je zločin.

7.1. 14:58 PetebLazar | skóre: 35 | blog: l_eonardovo_odhodlani
Rozbalit Rozbalit vše Re: Kritická zranitelnost v jsPDF, CVE-2025-68428

Nedávno? Jestli jsem to pochopil správně tak tato stránka Adobe s příklady Javascriptu generuje PDF verze 1.6, tj. verzi vydanou údajně v roce 2004.

7.1. 16:29 Heretik 《小魔神》
Rozbalit Rozbalit vše Re: Kritická zranitelnost v jsPDF, CVE-2025-68428

Javascript byl do PDF standardu přidán 2006. V mém digitálním životě je to nedávno.

Ale stejně to považuji za zločin. Bezpečnostní rizika takových PDF už dobře chápou i umělé inteligence.

Adobe u mě není žádná autorita, svého času jsme přezdívali Flash na "Adobe Infiltrator".

7.1. 21:23 RealJ | skóre: 9
Rozbalit Rozbalit vše Re: Kritická zranitelnost v jsPDF, CVE-2025-68428

to je jako stezovat si ze je tady DLL... JS je sracka stejne jako PDF.

včera 11:27 Nafoukanec
Rozbalit Rozbalit vše Re: Kritická zranitelnost v jsPDF, CVE-2025-68428

A co sračka není? :-D

Kritická zranitelnost v jsPDF, CVE-2025-68428

Komentáře