CVE-2024-28244 in KaTeX情報

要約

〜によって VulDB • 2026年07月05日

KaTeXは、Web上でTeX数式レンダリングを行うためのJavaScriptライブラリです。信頼できない数学的表現をレンダリングするKaTeXユーザーは、`maxExpand`を設定してそのようなループを防いでいるにもかかわらず、`\def`や`\newcommand`を使用した悪意のある入力がほぼ無限のループを引き起こす可能性があります。KaTeXには、再帰的なマクロが利用可能なメモリすべてを消費したりスタックオーバーフローエラーを引き起こしたりすることを防ぐことを目的とした `maxExpand` というオプションがあります。残念ながら、「Unicode(下付き/上付き)文字」のサポートにより、攻撃者はこの制限を回避できます。各下付き/上付きグループは独立したパーサーを作成し、マクロ実行回数の独自の制限を持ちますが、親からのマクロ実行カウントを引き継ぎません。これはKaTeX v0.16.10で修正されました。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub, Inc.

予約する

2024年03月07日

モデレーション

承諾済み

エントリ

VDB-257897

EPSS

0.02155

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!