CVE-2026-31938 — 神龙十问 AI 深度分析摘要
CVSS 9.6 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:jsPDF 库的 `output` 函数对 `options` 参数校验不足。 💥 **后果**:攻击者可在浏览器端注入任意 HTML,引发 **XSS(跨站脚本攻击)**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-79 (跨站脚本)。 🐛 **缺陷点**:`output` 函数未严格过滤 `options` 参数,导致恶意脚本被渲染。
Q3影响谁?(版本/组件)
📦 **组件**:jsPDF (Parallax 开源)。 📉 **版本**:**4.2.1 之前**的所有版本均受影响。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:无需高权限,利用浏览器环境执行。 📊 **数据**:可窃取 Cookie、Session,或劫持用户操作,**危害极高** (C:H, I:H)。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:中等。 🔑 **条件**:需用户交互 (UI:R),无需认证 (PR:N),攻击向量网络 (AV:N)。
Q6有现成Exp吗?(PoC/在野利用)
💣 **Exp**:当前数据 **无公开 PoC** (pocs: [])。 🌍 **在野**:暂无在野利用报告。
Q7怎么自查?(特征/扫描)
🔎 **自查**:检查项目中 `jsPDF` 依赖版本。 📝 **特征**:若使用 `< 4.2.1` 版本且调用 `output` 时传入可控 `options`,即存在风险。
Q8官方修了吗?(补丁/缓解)
🛡️ **补丁**:**已修复**。 📅 **时间**:2026-03-18 发布。 🔗 **版本**:升级至 **v4.2.1** 或更高版本。
Q9没补丁咋办?(临时规避)
⚠️ **临时规避**:若无法升级,请严格过滤 `output` 函数的 `options` 参数。 🚫 **建议**:避免将用户输入直接传入该参数,或暂时移除 jsPDF 功能。
Q10急不急?(优先级建议)
🔥 **优先级**:**高**。 📈 **CVSS**:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:L。 💡 **建议**:尽快升级,防止恶意 HTML 注入导致的数据泄露。