CVE-2025-26240
WysokieCVSS 8.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 31 — wyżej niż 31% wszystkich znanych CVE
Streszczenie
W wersji 1.0.0 biblioteki python-pdfkit od JazzCore, metoda from_string umożliwia wykonanie kodu JavaScript w kontekście aplikacji serwerowej oraz eksfiltrację lokalnych plików.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do danych lokalnych oraz potencjalnego przejęcia kontroli nad aplikacją serwerową.
Rekomendacja
Zaleca się aktualizację biblioteki python-pdfkit do najnowszej wersji oraz ograniczenie dostępu do metod, które mogą wykonywać kod JavaScript.
Oryginalny opis (angielski, źródło NVD)
In JazzCore python-pdfkit 1.0.0, the from_string method enables the execution of JavaScript code within the context of the server application and the exfiltration of local files.

