Alapadatok
Súlyosság: Kritikus
CVSS vektor: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N
Kihasználhatóság:
- Hálózatról kihasználható
- Alacsony komplexitás
- Nem szükséges jogosultság
- Nem szükséges felhasználói interakció
Következmények
Loss of confidentiality (Bizalmasság elvesztése)
Publikálás dátuma: 2026.01.05.
Leírás
A termék külső bemenetet használ egy olyan elérési útvonal (pathname) összeállításához, amelynek egy korlátozott könyvtáron belül kellene maradnia, de nem semlegesíti megfelelően a „.../...//” (duplázott, hárompontos perjellel jelölt) szekvenciákat, amelyek olyan helyre oldódhatnak fel, ami ezen a könyvtáron kívül esik.
Leírás forrása: CWE-35
Leírás utolsó módosítása: 2025.12.11.
Hivatkozások
https://github.com/parallax/jsPDF/commit/a688c8f479929b24a6543b1fa2d6364abb03066d
https://github.com/parallax/jsPDF/releases/tag/v4.0.0
https://github.com/parallax/jsPDF/security/advisories/GHSA-f8cm-6447-x5h2