CVE-2024-28246 in KaTeXИнформация

Сводка

по VulDB • 14.07.2026

KaTeX — это библиотека JavaScript для рендеринга математических формул TeX в веб-среде. Код, использующий опцию `trust` библиотеки KaTeX (в частности, предоставляющую функцию для черного списка определенных протоколов URL), может быть обманут URL-адресами во вредоносных входных данных, которые используют заглавные буквы в названии протокола. В частности, это позволяет вредоносным входным данным генерировать ссылки `javascript:` в выводе, даже если функция `trust` пытается запретить этот протокол через условие `trust: (context) => context.protocol !== 'javascript'`. Обновитесь до KaTeX v0.16.10, чтобы устранить эту уязвимость.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub, Inc.

Резервировать

07.03.2024

Раскрытие

25.03.2024

Модерация

принято

Вход

VDB-257902

EPSS

0.00406

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!