IT之家注：jsPDF 是一个强大的开源 Javascript 库，每周在 npm 注册表上的下载量超过 350 万次。

本次曝光的漏洞追踪编号为 CVE-2025-68428，严重程度评分（CVSS）高达 9.2，核心在于本地文件包含（LFI）和路径遍历缺陷，攻击者利用该缺陷可读取服务器本地文件系统中的敏感数据，并将其直接包含在生成的 PDF 文件中导出，从而导致机密信息泄露。

当应用程序将未经“清洗”的用户输入直接作为文件路径传递给 jsPDF 后，攻击者便可操纵路径指向系统敏感文件（如 /etc/ passwd 或配置文件）。除 loadFile 外，还波及 addImage、html 和 addFont 等调用文件加载方法。

然而，安全公司 Endor Labs 的研究人员指出，该权限模型在 Node.js 20 中仍处于实验阶段。因此，专家建议开发者将运行环境升级至 Node.js 22.13.0、23.5.0 或 24.0.0 及更高版本，以确保修复方案稳定生效。

对于无法立即升级 Node.js 版本的旧项目，jsPDF 团队建议在将用户提供的路径传递给库函数之前，必须进行严格的输入验证和清洗。

Endor Labs 的报告也补充说明，如果文件路径是硬编码的、来自受信任的配置源，或输入经过了严格的白名单过滤，可以大幅降低该漏洞的被利用风险。