CVE-2025-53626

Nome do Software Vulnerável e Versões Afetadas: pdfme versões 5.2.0 até 5.4.0

Descrição: A funcionalidade de avaliação de expressões no pdfme contém vulnerabilidades críticas que permitem escape de sandbox, levando a ataques de Cross-Site Scripting (XSS) e poluição de protótipo. Atacantes podem contornar as restrições da sandbox para executar código JavaScript arbitrário usando métodos como Object.getOwnPropertyDescriptor e Object.getPrototypeOf. O avaliador de expressões também permite acesso a métodos acessores de protótipo (lookupGetter, lookupSetter, defineGetter, defineSetter) que podem ser explorados com Object.assign para poluir a cadeia de protótipos. Essas vulnerabilidades podem permitir que atacantes executem código JavaScript arbitrário, roubem informações sensíveis, modifiquem o comportamento da aplicação e potencialmente realizem ações em nome dos usuários.

Recomendações: Versões do pdfme anteriores à 5.4.1 são afetadas. Atualize para a versão 5.4.1 do pdfme para resolver este problema.