Plataforma
nodejs
Componente
jspdf
Corregido en
4.2.1
4.2.0
La vulnerabilidad CVE-2026-25755 afecta a la biblioteca jspdf, una herramienta popular de Node.js para generar documentos PDF. Esta falla de inyección de objetos PDF permite a un atacante inyectar código malicioso en los documentos PDF generados, comprometiendo la integridad y seguridad de estos. La vulnerabilidad afecta a versiones anteriores a 4.2.0 y requiere que un atacante controle el argumento del método addJS.
Un atacante puede explotar esta vulnerabilidad inyectando objetos PDF arbitrarios en el documento generado mediante el método addJS. Al escapar del delimitador de la cadena JavaScript, el atacante puede ejecutar acciones maliciosas o alterar la estructura del documento. Esto podría incluir la ejecución de código JavaScript malicioso al abrir el PDF, la modificación del contenido del documento o la redirección a sitios web maliciosos. El impacto es significativo, ya que cualquier usuario que abra el PDF comprometido podría verse afectado, lo que representa un riesgo para la confidencialidad, integridad y disponibilidad de la información.
La vulnerabilidad fue publicada el 19 de febrero de 2026. Actualmente no se dispone de información sobre campañas de explotación activas, pero la naturaleza de la vulnerabilidad y la amplia adopción de jspdf la convierten en un objetivo potencial. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa. La vulnerabilidad no se encuentra en el catálogo KEV de CISA al momento de la redacción.
Applications that utilize the jspdf library to generate PDF documents are at risk, particularly those that allow users to control the content passed to the addJS method. This includes web applications, Node.js services, and any other environment where jspdf is used for PDF generation.
• nodejs / supply-chain:
npm list jspdf
# Check version, should be >= 4.2.0• generic web:
curl 'your-pdf-generation-endpoint' | grep -i 'console.log('test');)'
# Look for injected JavaScript in the PDF content.disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar la biblioteca jspdf a la versión 4.2.0 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, considere implementar un filtro de entrada para el argumento del método addJS, validando y sanitizando la entrada para evitar la inyección de código malicioso. Además, se recomienda revisar los documentos PDF generados por jspdf en busca de contenido sospechoso antes de distribuirlos. Después de la actualización, confirme la corrección revisando el código y generando documentos de prueba para verificar que el método addJS se comporta de forma segura.
Actualice la biblioteca jsPDF a la versión 4.2.0 o superior. Como alternativa, escape los paréntesis en el código JavaScript proporcionado por el usuario antes de pasarlo al método `addJS`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25755 is a HIGH severity vulnerability in jspdf versions before 4.2.0 that allows attackers to inject malicious PDF objects via the addJS method, potentially executing actions or altering the document.
You are affected if you are using jspdf versions prior to 4.2.0 and allow user-controlled input to be passed to the addJS method.
Upgrade to jspdf version 4.2.0 or later. If immediate upgrade is not possible, implement input validation on the addJS method.
There is currently no indication of active exploitation campaigns targeting this vulnerability, but a PoC is available.
Refer to the jspdf project's repository or website for official advisories and updates related to CVE-2026-25755.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.