Vulnerabilidad en KaTeX (CVE-2024-28246)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

25/03/2024

Última modificación:

02/09/2025

Descripción

KaTeX es una librería de JavaScript para la representación matemática de TeX en la web. El código que utiliza la opción `trust` de KaTeX, específicamente el que proporciona una función para incluir en la lista negra ciertos protocolos URL, puede ser engañado por URL en entradas maliciosas que utilizan caracteres en mayúsculas en el protocolo. En particular, esto puede permitir que entradas maliciosas generen enlaces `javascript:` en la salida, incluso si la función `trust` intenta prohibir este protocolo mediante `trust: (context) =&gt; context.protocol !== &#39;javascript&#39; `. Actualice a KaTeX v0.16.10 para eliminar esta vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Bajo