出典: Security NEXT – https://www.security-next.com/182291
PDF生成ライブラリ「jsPDF」に複数の深刻な脆弱性が発覚
人気のJavaScript製PDF生成ライブラリ「jsPDF」に、ユーザー入力の検証不足を原因とする複数の脆弱性が報告されました。これらの脆弱性は、悪意あるスクリプトの埋め込みを許し、PDF閲覧時に不正なコードが実行されるリスクを伴います。
主要なポイント
- CVE-2026-31938(クリティカル): 任意のHTMLを注入可能で、PDFをブラウザで開いた際にスクリプトが実行される恐れがあります。CVSSv3.1のスコアは9.6と非常に高く、最も深刻な評価を受けています。
- CVE-2026-31898(高リスク): 任意のPDFオブジェクトやJavaScriptアクションを埋め込める脆弱性で、PDF閲覧や操作時に不正処理を誘発する可能性があります。CVSSスコアは8.1です。
- 修正済みバージョン: これらの問題は2026年3月17日にリリースされた「jsPDF 4.2.1」で修正されており、利用者は速やかなアップデートが推奨されます。
技術的な詳細や背景情報
jsPDFはJavaScriptでPDFファイルを生成するためのライブラリで、Webアプリケーションでの帳票作成やレポート出力に広く利用されています。しかし、ユーザーからの入力を適切に検証・サニタイズしない場合、悪意あるコードがPDFに埋め込まれるリスクがあります。
「CVE-2026-31938」では、HTMLタグやスクリプトをPDF生成時に注入できるため、PDFをブラウザで開いた際にJavaScriptが実行される可能性があります。これはクロスサイトスクリプティング(XSS)に類似した攻撃で、ユーザーの環境で不正操作が行われる恐れがあります。
「CVE-2026-31898」は、PDF内部のオブジェクト構造やJavaScriptアクションに不正なコードを埋め込める脆弱性です。PDFの仕様上、JavaScriptを埋め込むことが可能ですが、これを悪用されるとPDF閲覧時に不正な動作を引き起こすことができます。
影響や重要性
これらの脆弱性は、PDFファイルを生成・配布するWebサービスやアプリケーションに深刻な影響を及ぼします。特に、ユーザーが生成した内容をそのままPDFに反映する場合、攻撃者が悪意あるコードを埋め込み、最終的に利用者の環境でスクリプトが実行されるリスクが高まります。
PDFはビジネス文書や報告書などで広く使われているため、信頼性の低いPDFを配布すると情報漏洩や不正操作、マルウェア感染などの被害につながる可能性があります。したがって、ライブラリのアップデートは速やかに行うべきです。
まとめ
jsPDFに発見された複数の脆弱性は、PDF生成時のユーザー入力検証の不備に起因し、悪意あるスクリプトの埋め込みを許す重大な問題です。特に「CVE-2026-31938」はクリティカルな脆弱性であり、速やかな対応が求められます。開発者やサービス運営者は、最新版の「jsPDF 4.2.1」へアップデートし、セキュリティリスクを軽減してください。
