Katalog CVE

CVE-2025-26240

WysokieCVSS 8.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 31 — wyżej niż 31% wszystkich znanych CVE

Streszczenie

W wersji 1.0.0 biblioteki python-pdfkit od JazzCore, metoda from_string umożliwia wykonanie kodu JavaScript w kontekście aplikacji serwerowej oraz eksfiltrację lokalnych plików.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do danych lokalnych oraz potencjalnego przejęcia kontroli nad aplikacją serwerową.

Rekomendacja

Zaleca się aktualizację biblioteki python-pdfkit do najnowszej wersji oraz ograniczenie dostępu do metod, które mogą wykonywać kod JavaScript.

Oryginalny opis (angielski, źródło NVD)

In JazzCore python-pdfkit 1.0.0, the from_string method enables the execution of JavaScript code within the context of the server application and the exfiltration of local files.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS