CVE-2025-23207

Nome do Software Vulnerável e Versões Afetadas Versões do KaTeX anteriores a 0.16.21

Descrição O problema está relacionado à função renderToString na biblioteca JavaScript KaTeX, que é usada para renderizar expressões matemáticas. É causado por codificação ou escape incorreto da saída ao lidar com o parâmetro htmlData. Isso poderia permitir que um atacante remoto executasse código arbitrário. Usuários que renderizam expressões matemáticas não confiáveis com renderToString podem encontrar entradas maliciosas usando htmlData que executam JavaScript arbitrário ou geram HTML inválido.

Recomendações Para versões anteriores a 0.16.21, atualize para o KaTeX v0.16.21 para eliminar esta vulnerabilidade. Como solução temporária, considere desativar a opção trust ou configurá-la para proibir comandos htmlData. Proíba entradas contendo a substring "htmlData". Faça a sanitização da saída HTML do KaTeX para minimizar o risco de exploração.