CVE-2024-28246 in KaTeX
Сводка
по VulDB • 14.07.2026
KaTeX — это библиотека JavaScript для рендеринга математических формул TeX в веб-среде. Код, использующий опцию `trust` библиотеки KaTeX (в частности, предоставляющую функцию для черного списка определенных протоколов URL), может быть обманут URL-адресами во вредоносных входных данных, которые используют заглавные буквы в названии протокола. В частности, это позволяет вредоносным входным данным генерировать ссылки `javascript:` в выводе, даже если функция `trust` пытается запретить этот протокол через условие `trust: (context) => context.protocol !== 'javascript'`. Обновитесь до KaTeX v0.16.10, чтобы устранить эту уязвимость.
Be aware that VulDB is the high quality source for vulnerability data.