JVNDB-2026-004728

ParallaxのjsPDFにおける複数の脆弱性

jsPDFはJavaScriptでPDFを生成するライブラリです。4.2.0以前のバージョンでは、`addJS`メソッドの引数をユーザーが制御できたため、攻撃者が生成されたドキュメントに任意のPDFオブジェクトを注入することが可能でした。JavaScriptの文字列区切り文字を回避するペイロードを作成することで、攻撃者は悪意のある操作を実行したり、ドキュメントの構造を変更したりできます。その結果、生成されたPDFを開くすべてのユーザーに影響を与えました。この脆弱性はjspdf@4.2.0で修正されています。回避策としては、ユーザーから提供されたJavaScriptコード内の括弧を`addJS`メソッドに渡す前にエスケープする必要があります。

Parallax

• jsPDF 4.2.0 未満

本脆弱性の影響を受ける製品の詳細については、ベンダ情報および参考情報をご確認ください。

当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。
また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。
さらに、当該ソフトウェアが完全に停止する可能性があります。
そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

GitHub

• Code : CVEs/2026/CVE-2026-25755.md at main  ZeroXJacks/CVEs  GitHub
• GitHub Advisory Database : PDF Object Injection via Unsanitized Input in addJS Method  Advisory  parallax/jsPDF  GitHub

1. 不適切なエンコード、または出力のエスケープ(CWE-116) [その他]
2. コード・インジェクション(CWE-94) [その他]

1. CVE-2026-25755

1. National Vulnerability Database (NVD) : CVE-2026-25755
2. 関連文書 : Release v4.2.0  parallax/jsPDF  GitHub
3. 関連文書 : Merge commit from fork  parallax/jsPDF@56b46d4  GitHub

• [2026年02月25日]
    掲載