Peringatan Ancaman

Ditemukan dua kerentanan kritis pada library jsPDF yang dapat dimanfaatkan penyerang untuk menyisipkan kode berbahaya ke dalam file PDF, berpotensi memicu serangan XSS dan eksekusi objek berbahaya saat dokumen dibuka atau diinteraksikan.

Kerentanan telah diidentifikasi pada library JavaScript populer, yaitu jsPDF, yang digunakan secara luas untuk pembuatan dokumen PDF di sisi klien. Dua kerentanan tersebut telah terdaftar sebagai:

• CVE-2026-31938 (Critical)
  Kerentanan ini memungkinkan injeksi HTML dan JavaScript melalui fungsi output yang membuka PDF dalam jendela baru. Input yang tidak disanitasi dapat menyebabkan eksekusi skrip berbahaya dalam konteks browser pengguna.
• CVE-2026-31898 (High)
  Kerentanan ini memungkinkan injeksi objek PDF melalui API createAnnotation. Parameter warna pada anotasi FreeText yang tidak divalidasi dapat dimanfaatkan untuk menyisipkan payload berbahaya ke dalam file PDF.

Dimana letak masalahnya?

Masalah utama terletak pada kurangnya validasi dan sanitasi terhadap input yang dikendalikan oleh pengguna, khususnya pada:

• Fungsi output untuk membuka PDF di browser (CVE-2026-31938).
• Parameter color dalam API createAnnotation (CVE-2026-31898).

Dampak bagi Aplikasi dan Pengguna

• Potensi serangan Cross-Site Scripting (XSS) saat PDF dibuka di browser.
• Penyisipan objek berbahaya dalam file PDF.
• Risiko eksekusi kode tidak sah ketika pengguna berinteraksi dengan dokumen.
• Kompromi keamanan data pengguna dan integritas aplikasi.

Versi yang Terdampak dan Perbaikan

• Versi terdampak: Seluruh versi jsPDF sebelum 4.2.1.
• Versi perbaikan: Disarankan untuk memperbarui ke versi 4.2.1 atau lebih baru.

Rekomendasi untuk Developer dan Tim Security

• Segera lakukan pembaruan library jsPDF ke versi terbaru (≥ 4.2.1).
• Terapkan validasi dan sanitasi input secara ketat, khususnya pada data yang akan diproses ke dalam PDF.
• Hindari penggunaan input langsung dari pengguna tanpa proses filtering.
• Lakukan pengujian keamanan (security testing) terhadap fitur pembuatan PDF.
• Implementasikan mekanisme Content Security Policy (CSP) untuk meminimalisasi dampak XSS.
• Monitor penggunaan dependensi pihak ketiga secara berkala untuk mendeteksi kerentanan.

Penutup

Kerentanan ini menunjukkan pentingnya pengelolaan dependensi pihak ketiga dan penerapan praktik keamanan yang baik dalam pengembangan aplikasi. Pengembang diharapkan segera melakukan mitigasi guna mencegah potensi eksploitasi yang dapat merugikan pengguna maupun sistem.

Sumber Referensi:

• https://github.com/advisories/GHSA-wfv2-pwc8-crg5