jsPDF曝CVE-2025-68428高危漏洞并发布4.0.0修复

科技媒体称，广泛使用的 JavaScript PDF 生成库 jsPDF（npm 每周下载超350万次）被披露存在高危漏洞 CVE-2025-68428（CVSS 9.2）。漏洞主要影响其 Node.js 构建版本的文件加载机制（如 loadFile），当应用将未经清洗的用户输入作为路径传入时，攻击者可利用路径遍历/本地文件包含读取服务器敏感文件，并将内容写入生成的 PDF 导出，波及 addImage、html、addFont 等调用链。维护团队已在 jsPDF 4.0.0 中修复并默认限制文件系统访问；研究者提示 Node 20 权限模型仍处实验阶段，建议升级至 Node.js 22.13.0、23.5.0 或 24.0.0 及以上，并谨慎配置 --permission 与文件读取授权范围，同时加强路径白名单校验。