Martinvks

**Nome do software vulnerável e versões afetadas** Versões do KaTeX anteriores à 0.16.10 **Descrição** O KaTeX é uma biblioteca JavaScript para renderização matemática TeX na web. Usuários que renderizam expressões matemáticas não confiáveis podem se deparar com entradas maliciosas usando `includegraphics`, que executa JavaScript arbitrário ou gera HTML inválido. O comando `includegraphics` não colocava entre aspas corretamente seu argumento de nome de arquivo, permitindo que ele gerasse HTML inválido ou malicioso que executa scripts. **Recomendações** Atualize para o KaTeX v0.16.10 para remover essa vulnerabilidade. Como solução temporária, considere evitar o uso ou desativar a opção `trust`, ou configure-a para proibir comandos `includegraphics`. Proíba entradas que contenham a subcadeia `“includegraphics”`. Sanitize a saída HTML do KaTeX.