CVE-2026-25755

Nome do Software Vulnerável e Versões Afetadas Versões do jsPDF anteriores à versão 4.2.0

Descrição O jsPDF é uma biblioteca JavaScript utilizada para gerar documentos PDF. Existe uma vulnerabilidade em que a entrada controlada pelo usuário no método addJS permite que um atacante injete objetos PDF arbitrários em documentos gerados. Ao criar um payload que escape do delimitador de string JavaScript, um atacante pode executar ações maliciosas ou alterar a estrutura do documento quando um usuário abre o PDF. O método addJS é vulnerável porque não possui sanitização adequada de entrada, permitindo que atacantes saiam do contexto de string JavaScript pretendido. Isso pode levar à execução de código JavaScript arbitrário dentro do PDF, potencialmente acionando ações como exibir alertas ou manipular o conteúdo do documento. A vulnerabilidade pode ser explorada injetando um payload malicioso que fecha a string JavaScript, fecha o dicionário atual e, em seguida, injeta uma "Ação Adicional" que é executada quando o PDF é focado ou aberto. O código injetado pode então executar ações como exibir uma mensagem de alerta.

Recomendações Atualize para a versão 4.2.0 do jsPDF ou superior. Como solução temporária, escape os parênteses no código JavaScript fornecido pelo usuário antes de passá-lo ao método addJS.