CVE-2024-28246

Versões do KaTeX anteriores à 0.16.10

O KaTeX é uma biblioteca JavaScript para renderização matemática TeX na web. O código que utiliza a opção trust do KaTeX pode ser enganado por URLs em entradas maliciosas que utilizam caracteres maiúsculos no protocolo, permitindo que entradas maliciosas gerem links javascript: na saída. Esse problema ocorre porque o KaTeX não normalizou a entrada protocol do objeto context fornecido a uma função trust especificada pelo usuário, que poderia ser uma mistura de letras minúsculas e/ou maiúsculas.

Atualize para o KaTeX v0.16.10 para remover essa vulnerabilidade.

Como solução temporária, considere usar uma lista de permissões em vez de uma lista de bloqueio de protocolos em sua função trust.

Converta manualmente context.protocol para letras minúsculas usando context.protocol.toLowerCase() antes de tentar verificar determinados protocolos.

Evite usar ou desative a opção trust.