CRITICALCVE-2026-31938CVSS 9.6

jsPDF में न्यू विंडो पाथ में HTML इंजेक्शन है

Q: CVE-2026-31938 — XSS jspdf लाइब्रेरी में क्या है?

CVE-2026-31938 jspdf लाइब्रेरी में एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को PDF दस्तावेज़ों में HTML इंजेक्ट करने की अनुमति देती है।

Q: क्या मैं CVE-2026-31938 से प्रभावित हूं jspdf लाइब्रेरी में?

यदि आप jspdf लाइब्रेरी के संस्करण 4.2.0 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

Q: मैं CVE-2026-31938 को कैसे ठीक करूं jspdf लाइब्रेरी में?

इस भेद्यता को ठीक करने के लिए, jspdf लाइब्रेरी को संस्करण 4.2.1 या बाद के संस्करण में अपग्रेड करें।

Q: क्या CVE-2026-31938 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक PoC ज्ञात नहीं हैं, भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।

Q: मैं CVE-2026-31938 के लिए आधिकारिक jspdf सलाहकार कहां पा सकता हूं?

आधिकारिक jspdf सलाहकार के लिए jspdf GitHub रिपॉजिटरी की जांच करें।

प्लेटफ़ॉर्म

nodejs

घटक

jspdf

में ठीक किया गया

4.2.2

4.2.1

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026

NVD पर देखें

सहेजें

jspdf लाइब्रेरी में एक गंभीर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की पहचान की गई है। यह भेद्यता हमलावरों को PDF निर्माण प्रक्रिया के दौरान HTML इंजेक्शन करने की अनुमति देती है, जिससे ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट निष्पादित हो सकती हैं। यह भेद्यता jspdf के संस्करण 4.2.0 और उससे पहले के संस्करणों को प्रभावित करती है। इसे ठीक करने के लिए, लाइब्रेरी को संस्करण 4.2.1 में अपग्रेड करने की सिफारिश की जाती है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों के लिए PDF दस्तावेज़ों के निर्माण को नियंत्रित करने और ब्राउज़र संदर्भ में मनमाना HTML (जैसे स्क्रिप्ट) इंजेक्ट करने का अवसर प्रदान करती है। विशेष रूप से, output फ़ंक्शन के options तर्क पर हमलावर का नियंत्रण है। प्रभावित विकल्पों में pdfobjectnewwindow, pdfjsnewwindow, और dataurlnewwindow शामिल हैं, जहां pdfObjectUrl, pdfJsUrl, और filename जैसे विकल्पों को JSON-serialized किया जाता है और उत्पन्न HTML स्ट्रिंग में सीधे शामिल किया जाता है। एक हमलावर एक दुर्भावनापूर्ण PDF दस्तावेज़ प्रदान कर सकता है जो ब्राउज़र में खुलने पर स्क्रिप्ट चलाता है, जिससे उपयोगकर्ता डेटा चोरी हो सकता है, सत्र हाईजैक हो सकते हैं, या अन्य दुर्भावनापूर्ण क्रियाएं की जा सकती हैं। यह भेद्यता विशेष रूप से उन अनुप्रयोगों के लिए गंभीर है जो उपयोगकर्ता-प्रदत्त डेटा के आधार पर PDF दस्तावेज़ उत्पन्न करते हैं।

शोषण संदर्भ

CVE-2026-31938 को अभी तक KEV में सूचीबद्ध नहीं किया गया है, लेकिन CVSS स्कोर 9.6 के साथ, इसका शोषण जोखिम मध्यम से उच्च माना जाता है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। NVD और CISA ने इस CVE के लिए कोई विशिष्ट तारीखें जारी नहीं की हैं, लेकिन 2026-03-17 को सार्वजनिक रूप से खुलासा किया गया था।

कौन जोखिम में हैअनुवाद हो रहा है…

Applications that utilize the jspdf library to generate PDFs are at risk, particularly those that accept user-provided data to customize the PDF content. This includes web applications, desktop applications, and any other software that integrates with jspdf. Shared hosting environments where multiple applications share the same Node.js environment are also at increased risk, as a vulnerability in one application could potentially compromise others.

पहचान के चरणअनुवाद हो रहा है…

• nodejs / supply-chain:

Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object Name, Id, Path

• nodejs / supply-chain:

Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter "jspdf*" | Select-Object FullName

• generic web: Use curl or wget to check for endpoints that generate PDFs and attempt to inject HTML payloads into parameters related to PDF options. Examine the generated PDF file for signs of injected script.

हमले की समयरेखा

2026-03-17Disclosure
disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

इंटरनेट एक्सपोज़रउच्च

रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.04% (12% शतमक)

CISA SSVC

शोषणnone

स्वचालनीयno

तकनीकी प्रभाव

प्रभावित सॉफ्टवेयर

घटकjspdf

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

< 4.2.1 – < 4.2.14.2.2

—4.2.1

कमजोरी वर्गीकरण (CWE)

CWE-79

समयरेखा

आरक्षित2026-03-10
प्रकाशित2026-03-17
संशोधित2026-03-19
EPSS अद्यतन2026-03-25

शमन और वर्कअराउंड

इस भेद्यता को कम करने का प्राथमिक तरीका jspdf लाइब्रेरी को संस्करण 4.2.1 या बाद के संस्करण में अपग्रेड करना है, जिसमें यह भेद्यता ठीक की गई है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट को मान्य और सैनिटाइज करने के लिए सर्वर-साइड सत्यापन लागू किया जा सकता है जो options तर्क को प्रदान किया जाता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को कॉन्फ़िगर किया जा सकता है ताकि संभावित XSS हमलों का पता लगाया जा सके और उन्हें अवरुद्ध किया जा सके। जांच करें कि क्या कोई तृतीय-पक्ष लाइब्रेरी या घटक jspdf का उपयोग कर रहे हैं और उन्हें भी अपडेट करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, PDF दस्तावेज़ निर्माण प्रक्रिया का परीक्षण करें और उत्पन्न HTML आउटपुट की जांच करें।

कैसे ठीक करें

jsPDF लाइब्रेरी को संस्करण 4.2.1 या उच्चतर में अपडेट करें। वैकल्पिक रूप से, HTML इंजेक्शन से बचने के लिए आउटपुट विधि में पास करने से पहले उपयोगकर्ता इनपुट को सैनिटाइज करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-31938 — XSS jspdf लाइब्रेरी में क्या है?