В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость, затрагивающая широко используемую библиотеку jsPDF для генерации PDF-файлов. Эксперты присвоили ей идентификатор BDU:2026-01175 и высокий уровень опасности. Проблема кроется в модуле Acroform прикладного программного интерфейса (API) библиотеки.
Детали уязвимости
Суть уязвимости заключается в некорректном кодировании или экранировании выходных данных. С технической точки зрения, это классифицируется как CWE-116. Уязвимость позволяет удалённому злоумышленнику внедрить и выполнить произвольный JavaScript-код в контексте браузера жертвы. Для успешной атаки пользователю необходимо лишь открыть специально созданный вредоносный PDF-документ. Это означает, что атака не требует каких-либо предварительных действий от жертвы, кроме открытия файла, что делает её особенно коварной.
Уязвимость затрагивает все версии библиотеки jsPDF от разработчика Parallax Agency Ltd вплоть до 4.0.0. Она была публично подтверждена производителем 2 февраля 2026 года. Более того, в открытом доступе уже существует эксплойт, что значительно повышает актуальность угрозы. Эксплуатация уязвимости происходит путём манипулирования структурами данных внутри PDF-файла.
Оценка по методологии CVSS подчёркивает серьёзность ситуации. Базовая оценка CVSS 3.1 составляет 8.1 балла из 10. Вектор атаки оценивается как сетевой, не требующий привилегий или взаимодействия с пользователем, что указывает на простоту потенциальной эксплуатации. Последствия могут быть критическими, включая полную компрометацию конфиденциальности и целостности данных.
К счастью, проблема уже устранена. Разработчики выпустили исправление в версии jsPDF 4.1.0. Следовательно, основная и самая эффективная мера защиты - это немедленное обновление библиотеки до актуальной версии. В частности, пользователям и разработчикам необходимо обратиться к официальному релизу на GitHub. Однако в условиях современных геополитических вызовов важно проявлять осмотрительность. Установка любых обновлений должна проводиться только после тщательной оценки всех сопутствующих рисков и из доверенных источников.
Помимо основного исправления, специалисты по кибербезопасности рекомендуют ряд компенсирующих мер для организаций, где оперативное обновление невозможно. Во-первых, следует ограничить возможность открытия PDF-файлов, полученных из непроверенных источников. Во-вторых, эффективным решением может стать использование замкнутых программных сред, например, виртуальных машин или песочниц (sandbox), для работы с подозрительными документами. Кроме того, стоит задействовать средства межсетевого экранирования и сегментировать сеть, чтобы ограничить доступ к системам, где используется уязвимая библиотека.
Для мониторинга и предотвращения атак также полезны системы обнаружения и предотвращения вторжений (IDS/IPS). Они способны выявлять попытки эксплуатации известных уязвимостей. Наконец, в качестве дополнительного слоя защиты рекомендуется использовать современное антивирусное программное обеспечение, настроенное на глубокий анализ PDF-файлов. В целом, данный инцидент лишний раз напоминает о важности своевременного применения обновлений безопасности для всех компонентов программного стека, включая библиотеки.
Ссылки
- https://bdu.fstec.ru/vul/2026-01175
- https://www.cve.org/CVERecord?id=CVE-2026-24737
- https://github.com/parallax/jsPDF/releases/tag/v4.1.0
- https://github.com/parallax/jsPDF/security/advisories/GHSA-pqxr-3g65-p328
- https://github.com/parallax/jsPDF/commit/da291a5f01b96282545c9391996702cdb8879f79
