CRITICALCVE-2026-31938CVSS 9.6

jsPDF 在 New Window 路径中存在 HTML 注入漏洞

Q: 什么是 CVE-2026-31938 — XSS 漏洞在 jspdf 库中?

CVE-2026-31938 是 jspdf Node.js 库中的一个高危跨站脚本攻击 (XSS) 漏洞，攻击者可以通过控制 PDF 生成过程中的 `options` 参数注入恶意 HTML 代码。

Q: 我是否受到 CVE-2026-31938 在 jspdf 库中的影响?

如果您正在使用 jspdf 4.x 版本，则可能受到影响。请立即检查您的依赖项，并升级到 4.2.1 或更高版本。

Q: 我如何修复 CVE-2026-31938 在 jspdf 库中?

最有效的修复方法是升级到 jspdf 4.2.1 或更高版本。如果无法立即升级，请使用 WAF 过滤相关参数或对输入进行严格验证。

Q: CVE-2026-31938 是否正在被积极利用?

目前尚未公开发现大规模利用活动，但由于漏洞的严重性，建议密切关注相关安全动态。

Q: 在哪里可以找到官方 jspdf 库针对 CVE-2026-31938 的公告?

请访问 jspdf 库的 GitHub 仓库或官方网站，查找相关安全公告和修复说明。

平台

nodejs

组件

jspdf

修复版本

4.2.2

4.2.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-31938 是一个高危跨站脚本攻击 (XSS) 漏洞，存在于 jspdf Node.js 库中。攻击者可以通过控制 output 函数的 options 参数，将恶意 HTML 代码注入到生成的 PDF 文件中，并在用户打开 PDF 时执行。该漏洞影响 jspdf 4.x 版本，建议尽快升级至 4.2.1 版本。

影响与攻击场景

该漏洞允许攻击者在受害者浏览器上下文中注入任意 HTML 代码，例如 JavaScript 脚本。攻击者可以利用此漏洞窃取用户的敏感信息，例如 Cookie 和会话令牌，或者将用户重定向到恶意网站。攻击场景包括：攻击者控制 PDF 生成过程，通过恶意构造 options 参数，将包含恶意脚本的 HTML 代码嵌入到 PDF 文件中。当用户打开该 PDF 文件时，恶意脚本会在用户的浏览器中执行，从而实现攻击目的。由于 PDF 文件可以被广泛传播，因此该漏洞的潜在影响范围非常广。

利用背景

目前尚未公开发现针对 CVE-2026-31938 的大规模利用活动，但该漏洞的 CVSS 评分高达 9.6 (CRITICAL)，表明其潜在危害性很高。该漏洞已添加到 CISA KEV 目录，表明其具有较高的安全风险。建议密切关注相关安全动态，并及时采取缓解措施。

哪些人处于风险中翻译中…

Applications that utilize the jspdf library to generate PDFs are at risk, particularly those that accept user-provided data to customize the PDF content. This includes web applications, desktop applications, and any other software that integrates with jspdf. Shared hosting environments where multiple applications share the same Node.js environment are also at increased risk, as a vulnerability in one application could potentially compromise others.

检测步骤翻译中…

• nodejs / supply-chain:

Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object Name, Id, Path

• nodejs / supply-chain:

Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter "jspdf*" | Select-Object FullName

• generic web: Use curl or wget to check for endpoints that generate PDFs and attempt to inject HTML payloads into parameters related to PDF options. Examine the generated PDF file for signs of injected script.

攻击时间线

2026-03-17Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (12% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件jspdf

供应商osv

影响范围修复版本

< 4.2.1 – < 4.2.14.2.2

—4.2.1

弱点分类 (CWE)

CWE-79

时间线

已保留2026-03-10
发布日期2026-03-17
修改日期2026-03-19
EPSS 更新日期2026-03-25

缓解措施和替代方案

最有效的缓解措施是立即升级到 jspdf 4.2.1 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：使用 Web 应用防火墙 (WAF) 过滤 output 函数的 options 参数，阻止包含恶意 HTML 代码的请求。对 options 参数进行严格的输入验证和过滤，确保其只包含允许的字符和数据类型。如果使用 jspdf 生成 PDF 文件，应避免允许用户直接控制 options 参数的值。升级后，请确认新版本已正确部署，并测试 PDF 生成功能是否正常工作。

修复方法

将 jsPDF 库更新到 4.2.1 或更高版本。或者，在将其传递给 output 方法之前，清理用户输入以防止 HTML 注入。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2026-31938 — XSS 漏洞在 jspdf 库中?

CVE-2026-31938 是 jspdf Node.js 库中的一个高危跨站脚本攻击 (XSS) 漏洞，攻击者可以通过控制 PDF 生成过程中的 options 参数注入恶意 HTML 代码。

我是否受到 CVE-2026-31938 在 jspdf 库中的影响?