CVE-2024-28246 in KaTeX
Riassunto
di VulDB • 13/07/2026
KaTeX è una libreria JavaScript per il rendering di formule matematiche TeX sul web. Il codice che utilizza l’opzione `trust` di KaTeX, in particolare quella che fornisce una funzione per creare un elenco nero (blacklist) di determinati protocolli URL, può essere ingannato da URL presenti in input dannosi che utilizzano caratteri maiuscoli nel nome del protocollo. In particolare, ciò consente a input malevoli di generare link `javascript:` nell’output, anche se la funzione `trust` tenta di vietare tale protocollo tramite `trust: (context) => context.protocol !== 'javascript'`. Aggiornare KaTeX alla versione v0.16.10 per rimuovere questa vulnerabilità.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.