CVE-2024-28246 in KaTeXinformazioni

Riassunto

di VulDB • 13/07/2026

KaTeX è una libreria JavaScript per il rendering di formule matematiche TeX sul web. Il codice che utilizza l’opzione `trust` di KaTeX, in particolare quella che fornisce una funzione per creare un elenco nero (blacklist) di determinati protocolli URL, può essere ingannato da URL presenti in input dannosi che utilizzano caratteri maiuscoli nel nome del protocollo. In particolare, ciò consente a input malevoli di generare link `javascript:` nell’output, anche se la funzione `trust` tenta di vietare tale protocollo tramite `trust: (context) => context.protocol !== 'javascript'`. Aggiornare KaTeX alla versione v0.16.10 per rimuovere questa vulnerabilità.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub, Inc.

Prenotare

07/03/2024

Divulgazione

25/03/2024

Moderazione

accettato

CPE

pronto

EPSS

0.00406

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!