CVE-2024-28244 in KaTeX
الملخص
بحسب VulDB • 13/07/2026
KaTeX هي مكتبة جافا سكريبت لتحويل معادلات TeX إلى صور على الويب. قد يواجه مستخدمو KaTeX الذين يعرضون تعبيرات رياضية غير موثوقة مدخلات ضارة تستخدم `\def` أو `\newcommand` مما يؤدي إلى حدوث حلقة لا نهائية تقريبًا، حتى عند ضبط `maxExpand` لتجنب مثل هذه الحلقات. يدعم KaTeX خيارًا باسم maxExpand يهدف إلى منع الماكروس ذاتية التكرار اللانهائية من استهلاك كل الذاكرة المتاحة و/أو إحداث خطأ تجاوز مكدس التنفيذ (Stack Overflow). لسوء الحظ، يسمح دعم "أحرف الترقيم السفلي والعلاوي في Unicode" لمهاجم بتجاوز هذا الحد. يتم إنشاء مجموعة فرعية أو عليا جديدة لكل منها Parser منفصل بحد خاص به لتنفيذ الماكروس، دون توريث العدد الحالي لتنفيذ الماكروس من الوالد الخاص بها. تم إصلاح هذه المشكلة في KaTeX الإصدار 0.16.10.
If you want to get best quality of vulnerability data, you may have to visit VulDB.