大伙可得注意了,最近出的那个 jsPDF 漏洞特别吓人,已经让几百万开发者的 PDF 对象注入风险爆表了。现在的 Web 开发大家都挺喜欢用 jsPDF 库来搞 PDF,因为它用起来方便。不过这次挖出来的 CVE-2026-25755 真的把安全警报拉满了。 咱们先说清楚是怎么回事,这漏洞最关键的原因是 jsPDF 里面那个 java.js 文件对用户输入的过滤太不仔细了。具体到那个 addJS 方法上,它把用户传进来的东西直接往 PDF 流里拼,结果连 PDF 规范里用来当字符串分隔符的右括号都忘了转义。 这下子可好了,这招能被坏人利用。他们只要往里面扔一段像“>>/Action…“这种 payload 就能切断字符串,把自己想加的操作全塞进去。研究人员 ZeroXJacks 做过试验,发现这东西在打开文档的时候就能自动触发,哪怕电脑上的 Java 被关了也能跑。这跟以前那种靠浏览器 JavaScript 搞的 XSS 完全不一样,它是直接篡改 PDF 的结构树,防都没法防。 这漏洞的危害到底有多大?咱们可以这样看: 绕过 Java 限制:你哪怕关了 Java 也不管用,/OpenAction 这种动作照样能跑。 操纵文档内容:攻击者能把/Annots 或者/Signatures 这些地方的内容换掉,伪造签名、做钓鱼或者改个 PDF 的外观。 跨设备风险:像那种轻量化的 PDF 阅读器,特别是手机上或者嵌入式的那种,因为解析规矩严反而容易中招。 所以咱们得赶紧动手解决。开发者最好是现在就把库升级到 4.1.0 以上,新版本已经把那些坏输入给处理干净了。要是还没升级,那就先把 addJS 这类方法给禁用掉吧。 总之这事儿给咱提了个醒:技术进步的同时安全问题也越来越难搞。大家想用东西图方便没问题,但千万不能忘了代码的安全性才是看家护院的根本。