CVE-2024-28244 in KaTeXالمعلومات

الملخص

بحسب VulDB • 13/07/2026

KaTeX هي مكتبة جافا سكريبت لتحويل معادلات TeX إلى صور على الويب. قد يواجه مستخدمو KaTeX الذين يعرضون تعبيرات رياضية غير موثوقة مدخلات ضارة تستخدم `\def` أو `\newcommand` مما يؤدي إلى حدوث حلقة لا نهائية تقريبًا، حتى عند ضبط `maxExpand` لتجنب مثل هذه الحلقات. يدعم KaTeX خيارًا باسم maxExpand يهدف إلى منع الماكروس ذاتية التكرار اللانهائية من استهلاك كل الذاكرة المتاحة و/أو إحداث خطأ تجاوز مكدس التنفيذ (Stack Overflow). لسوء الحظ، يسمح دعم "أحرف الترقيم السفلي والعلاوي في Unicode" لمهاجم بتجاوز هذا الحد. يتم إنشاء مجموعة فرعية أو عليا جديدة لكل منها Parser منفصل بحد خاص به لتنفيذ الماكروس، دون توريث العدد الحالي لتنفيذ الماكروس من الوالد الخاص بها. تم إصلاح هذه المشكلة في KaTeX الإصدار 0.16.10.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub, Inc.

حجز

07/03/2024

إفشاء

25/03/2024

الاعتدال

تمت الموافقة

إدخال

VDB-257897

EPSS

0.02155

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!