Критическая уязвимость в популярной JavaScript-библиотеке jsPDF, используемой для генерации PDF-документов непосредственно в браузере, создаёт масштабные риски для миллионов разработчиков и пользователей по всему миру. Проблема, получившая идентификатор CVE-2026-25755, позволяет злоумышленникам осуществлять так называемое внедрение объектов PDF (PDF Object Injection) через метод "addJS". Уязвимость затрагивает бесчисленное количество веб-приложений, которые полагаются на jsPDF для создания динамических документов на основе пользовательских данных, от систем формирования счетов и отчётов до инструментов сдачи форм. Присвоенный ей высокий балл 8,8 по шкале CVSS подчёркивает серьёзность потенциальных последствий.
Детали уязвимости
Библиотека jsPDF является фундаментальным компонентом для множества онлайн-сервисов. Еженедельно через менеджер пакетов npm она скачивается более 1,5 миллиона раз. Её используют интернет-магазины для создания чеков, корпоративные дашборды (панели управления) для экспорта аналитики, а также государственные и финансовые порталы для обработки заявлений. Именно эта повсеместность превращает техническую ошибку в глобальную угрозу цепочки поставок программного обеспечения. Злоумышленник, способный передать вредоносные данные в систему - например, через поле комментария, форму обратной связи или импортируемый файл - может активировать уязвимость. В результате сгенерированный PDF-файл будет выполнять произвольные действия при открытии в любой программе для просмотра, что ставит под удар конфиденциальность и целостность данных конечных пользователей.
Корень проблемы лежит в недостаточной проверке входных данных. Технически уязвимость находится в файле "javascript.js" библиотеки. Метод "addJS", предназначенный для добавления JavaScript-кода в PDF, напрямую объединяет пользовательский ввод с потоком данных документа без должной санитизации (очистки). Критическая строка кода выглядит как "this.internal.out("/JS (" + text + ")");". Воспользовавшись этой логикой, атакующий может включить в параметр "text" закрывающую скобку ")", чтобы преждевременно завершить строку JavaScript. После этого становится возможным добавить произвольный синтаксис языка PostScript, который лежит в основе PDF, например, для внедрения словаря «дополнительных действий» (Additional Action dictionary). Эта манипуляция позволяет злоумышленнику изменить внутреннюю иерархию объектов PDF, что является более глубоким вмешательством, чем типичные межсайтовые сценарии (XSS).
Главная опасность этой уязвимости заключается в её надёжности и независимости от окружения. В отличие от атак, рассчитанных на выполнение скриптов в браузере, внедрённые объекты PDF обрабатываются самим просмотрщиком документов. Это означает, что вредоносная полезная нагрузка может сработать даже при отключённой поддержке JavaScript в программе для просмотра PDF, например, через автоматическое действие "/OpenAction". Кроме того, атакующие могут манипулировать критически важными разделами документа, такими как "/Encrypt" (шифрование), "/Signatures" (подписи) или "/Annots" (аннотации). На практике это открывает возможности для фишинга, подмены содержимого документа после его подписания или создания ложного ощущения безопасности у пользователя. Важно отметить, что подобные инъекции выполняются стабильно в самых разных программах для просмотра - от тяжёлых настольных приложений вроде Adobe Acrobat до встроенных или облегчённых просмотрщиков в браузерах и мобильных ОС, поскольку все они обязаны следовать стандарту структуры PDF.
Доказательство концепции наглядно демонстрирует простоту эксплуатации. Разработчик, использующий уязвимую версию jsPDF, вызывает метод "addJS" с полезной нагрузкой, которая объединяет безобидный код и вредоносные инструкции PDF. После сохранения и открытия такого документа в просмотрщике может автоматически выполниться предопределённое действие, например, отобразиться фишинговое окно или начаться скрытая загрузка файла с удалённого сервера. Подобное поведение эквивалентно выполнению удалённого кода в контексте PDF-документа, что представляет прямую угрозу для корпоративных пользователей, регулярно работающих с автоматически генерируемыми отчётами и формами.
В ответ на обнаружение уязвимости разработчики библиотеки выпустили патч. Проблема затрагивает все версии jsPDF ранее 4.1.0. В исправленной версии 4.1.0 и выше реализовано корректное экранирование специальных символов, таких как скобки и обратные слеши, в соответствии со спецификацией PDF, что предотвращает выход из заданного контекста. Следовательно, первоочередная и самая эффективная мера для всех команд - немедленное обновление зависимости до актуальной версии. Однако, учитывая масштабы угрозы, ограничиваться лишь апгрейдом библиотеки недостаточно. Необходим комплексный пересмотр процессов безопасности.
- Разработчикам следует ужесточить практики валидации и санитизации всех входных данных, которые в конечном итоге используются для генерации документов. Нельзя слепо доверять информации, поступающей от пользователей или из внешних систем.
- Критически важно наладить регулярный аудит зависимостей проекта с помощью специализированных инструментов, таких как "npm audit" или Snyk, которые могут автоматически обнаруживать известные уязвимости.
- Для компаний, чьи бизнес-процессы завязаны на генерацию PDF, рекомендуется внедрить дополнительный этап тестирования. Сгенерированные документы стоит проверять в нескольких различных просмотрщиках на предмет аномального поведения или неожиданных действий при открытии.
В конечном итоге, инцидент с jsPDF служит очередным суровым напоминанием о рисках, присущих современной экосистеме разработки с её сложными цепочками зависимостей. Уязвимость в одной широко распространённой библиотеке может поставить под угрозу безопасность тысяч не связанных между собой приложений. Для организаций это означает, что управление зависимостями и своевременное применение исправлений должны быть не второстепенной задачей, а строгим и неотъемлемым элементом политики кибербезопасности. Только проактивный подход и глубокая защита помогут снизить риски подобных атак в будущем.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-25755
- https://github.com/parallax/jsPDF/security/advisories/GHSA-9vjf-qc39-jprp
- https://github.com/parallax/jsPDF/commit/56b46d45b052346f5995b005a34af5dcdddd5437
- https://github.com/ZeroXJacks/CVEs/blob/main/2026/CVE-2026-25755.md
- https://github.com/parallax/jsPDF/releases/tag/v4.2.0
