Kritické zraniteľnosti v NPM knižniciach jsPDF a AdonisJS

January 14, 2026

Bezpečnostní výskumníci našli kritické zraniteľnosti vo dvoch knižniciach NPM – jsPDF na generovanie PDF dokumentov a MVC knižnici AdonisJS. Ide o často využívané knižnice, ktoré majú spolu viac ako 3,5 milióna stiahnutí týždenne.

Zraniteľné systémy:

@adonisjs/bodyparser 10.1.1 a staršie
@adonisjs/bodyparser 11.0.0-next.5 a staršie
jsPDF dist/jspdf.node.js verzie staršie ako 4.0.0
jsPDF dist/jspdf.node.min.js verzie staršie ako 4.0.0

Opis zraniteľnosti:

CVE-2026-21440 (CVSS 4.0 skóre 9,2)

Kritická zraniteľnosť balíčka NPM @adonisjs/bodyparser umožňuje prechádzanie súborovou cestou. Nachádza sa v mechanizme spracovania súborov zložených z viacerých častí, konkrétne vo funkcii MultipartFile.move(). Problém nastáva v prípade, keď parameter name nie je odovzdaný ako vstup. Aplikácia vtedy použije neošetrený názov súboru poskytnutý klientom. Vzdialenému neautorizovanému útočníkovi môže umožniť zapisovať ľubovoľné súbory na ľubovoľné miesta v súborovom systéme servera, vrátane prepisovania aktuálnych súborov.

CVE-2025-68428 (CVSS 4.0 skóre 9,2)

Kritická zraniteľnosť knižnice jsPDF umožňuje používateľovi ovplyvniť prvý argument metódy loadFile, čo umožňuje lokálne načítanie súborov (LFI) a prechádzanie súborovou cestou. Vložením neošetrenej cesty má útočník možnosť získať obsah ľubovoľných súborov zo súborového systému, v ktorom beží proces Node.js. Obsah týchto súborov následne bez úprav vloží jsPDF priamo do generovaného PDF dokumentu. Podobne zraniteľné sú aj metódy addImage, html a addFont.

Zraniteľnosti našli Hunter Wodzenski (@wodzen) a výskumníci Endor Labs.

Možné škody:

Únik citlivých dát
Kompromitácia systému
Vzdialené vykonávanie kódu

Odporúčania:

Developerom a systémovým administrátorom, ktorí využívajú zraniteľné knižnice, odporúčame bezodkladnú aktualizáciu na verzie:

jsPDF 4.0.0
@adonisjs/bodyparser 10.1.2
@adonisjs/bodyparser 11.0.0-next.6

Zdroje: