关键信息 漏洞名称: PDF Injection in AcroForm module allows Arbitrary JavaScript Execution 漏洞ID: GHSA-pqxr-3g65-p328 CVE-2026-24737 受影响版本: = 4.1.0 严重性: High (CVSS: 8.1/10) CVSS v3 基础指标: Attack Vector: Network Attack Complexity: Low Privileges Required: None User Interaction: Required Scope: Unchanged Confidentiality: High Integrity: High Availability: None 弱点类型: CWE-116 描述: 用户可以利用AcroForm模块的属性和方法注入任意PDF对象,如JavaScript动作。 集中受影响的API成员包括: , , , 。 示例攻击向量: 代码示例展示了如何通过特定的payload注入额外的动作并在目标打开文档时执行。 修复措施: 在jsPDF@4.1.0版本中修复了该漏洞。 缓解措施: 在输入传给易受攻击的API成员之前,需要对用户输入进行清理。 报告人: Ahmet Artuç