PT-2024-22360 · Katex+3 · Katex+3
Martinvks
·
Publicado
2024-03-25
·
Atualizado
2025-09-02
·
CVE-2024-28245
CVSS v3.1
6.3
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Versões do KaTeX anteriores à 0.16.10
Descrição
O KaTeX é uma biblioteca JavaScript para renderização matemática TeX na web. Usuários que renderizam expressões matemáticas não confiáveis podem se deparar com entradas maliciosas usando
includegraphics, que executa JavaScript arbitrário ou gera HTML inválido. O comando includegraphics não colocava entre aspas corretamente seu argumento de nome de arquivo, permitindo que ele gerasse HTML inválido ou malicioso que executa scripts.Recomendações
Atualize para o KaTeX v0.16.10 para remover essa vulnerabilidade.
Como solução temporária, considere evitar o uso ou desativar a opção
trust, ou configure-a para proibir comandos includegraphics.Proíba entradas que contenham a subcadeia
“includegraphics”.Sanitize a saída HTML do KaTeX.
Exploit
Correção
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Katex
Linuxmint
Ubuntu