PDFMake中的安全漏洞CVE-2025-11362

PDFMake是一个强大的库，它允许你使用JSON定义PDF文档的结构和内容，这种方式使得PDF的生成更加灵活和可维护，通过npm安装。

一、基本情况

PDFMake是一个基于纯 JavaScript 的客户端/服务器端 PDF 打印解决方案，得益于该解决方案，使得创建复杂的PDF文档变得异常简单。

PDFMake.js是基于JavaScript的库，用于在客户端和服务器端生成PDF文档，允许开发者使用HTML和CSS来设计PDF文档的布局和样式。

栋科技漏洞库关注到PDFMake受影响版本存在易通过反复重定向文件嵌入中的URL漏洞，追踪为CVE-2025-11362，CVSS 4.0评分为8.7。

二、漏洞分析

CVE-2025-113是版本低于0.3.0-beta.17的PDFMake包存在资源分配无限制或未进行节流的问题，源于文件嵌入中的反复重定向URL所致。

具体而言，该漏洞存在于PDFMake包低于0.3.0-beta.17版本中，通过文件嵌入中的重复重定向URL触发而导致资源分配无限制或无节流。

由于漏洞源于通过反复重定向文件嵌入中的URL的问题，因此攻击者通过提供特定输入来触发这种情况，导致应用程序崩溃或无法响应。

三、影响范围

PDFMake <= 0.3.0-beta.17

四、修复建议

PDFMake > 0.3.0-beta.17

五、参考链接

管理员已设置登录后刷新可查看