Μια κρίσιμη ευπάθεια Cross-Site Scripting (XSS) ανακαλύφθηκε στον Μεταγλωττιστή προτύπων της Angular, η οποία επηρεάζει πολλαπλές εκδόσεις των πακέτων @angular/compiler και @angular/core.
Παρακολούθηση ως CVE-2026-22610, αυτή η ευπάθεια επιτρέπει στους εισβολείς να παρακάμπτουν τις ενσωματωμένες προστασίες ασφαλείας του Angular και να εκτελούν αυθαίρετο κώδικα JavaScript στα προγράμματα περιήγησης-θύμα.
Η ευπάθεια
Το ελάττωμα υπάρχει στο σχήμα εσωτερικής απολύμανσης του Angular, το οποίο αποτυγχάνει να αναγνωρίσει σωστά τα χαρακτηριστικά href και xlink:href του SVG
Αυτή η παράβλεψη επιτρέπει στους εισβολείς να εισάγουν κακόβουλα ωφέλιμα φορτία μέσω δεσμεύσεων προτύπων, εκτελώντας έτσι μη εξουσιοδοτημένο κώδικα στις περιόδους σύνδεσης των χρηστών.
| Πεδίο | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2026-22610 |
| Τύπος ευπάθειας | Σενάρια μεταξύ τοποθεσιών (XSS) |
| CWE | CWE-79: Ακατάλληλη εξουδετέρωση εισόδου κατά τη δημιουργία ιστοσελίδων |
| Βαθμολογία CVSS v4 | 7,6 (Υψηλό) |
| Διάνυσμα CVSS | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Όταν οι προγραμματιστές χρησιμοποιούν τη σύνταξη δέσμευσης ιδιοτήτων του Angular (όπως π.χ [attr.href]=”userInput”), ο μεταγλωττιστής αντιμετωπίζει αυτά τα χαρακτηριστικά σεναρίου SVG ως τυπικές συμβολοσειρές και όχι ως επικίνδυνους συνδέσμους πόρων.
Αυτή η εσφαλμένη ταξινόμηση επιτρέπει σε κακόβουλα δεδομένα, συμπεριλαμβανομένων δεδομένων: URI κειμένου/javascript ή συνδέσμους προς εξωτερικά κακόβουλα σενάρια, να παρακάμπτουν τους ελέγχους ασφαλείας. Η επιτυχής εκμετάλλευση αυτής της ευπάθειας μπορεί να οδηγήσει σε σοβαρές συνέπειες.
Οι εισβολείς ενδέχεται να κλέψουν cookie περιόδου λειτουργίας, δεδομένα τοπικής αποθήκευσης ή διακριτικά ελέγχου ταυτότητας για να παραβιάσουν λογαριασμούς χρηστών.
Θα μπορούσαν επίσης να εκμεταλλευτούν ευαίσθητες πληροφορίες που εμφανίζονται σε εφαρμογές ή να εκτελούν μη εξουσιοδοτημένες ενέργειες για λογαριασμό επαληθευμένων χρηστών.
Η ευπάθεια φέρει μια βασική βαθμολογία CVSS v4 7,6 (Υψηλή σοβαρότητα). Απαιτεί χαμηλή πολυπλοκότητα επίθεσης και σχετικά χαμηλά επίπεδα προνομίων για εκμετάλλευση.
Επηρεασμένες εκδόσεις και Διορθώσεις
| Πακέτο Angular | Εκδόσεις που επηρεάζονται | Διορθώσεις / Ασφαλείς εκδόσεις |
|---|---|---|
| @angular/compiler, @angular/core | ≥ 21.1.0-επόμενο.0 και | 21.1.0-rc.0 ή μεταγενέστερη |
| @angular/compiler, @angular/core | ≥ 21.0.0-επόμενο.0 και | 21.0.7 ή μεταγενέστερη |
| @angular/compiler, @angular/core | ≥ 20.0.0-επόμενο.0 και | 20.3.16 ή μεταγενέστερη |
| @angular/compiler, @angular/core | ≥ 19.0.0-επόμενο.0 και | 19.2.18 ή μεταγενέστερη |
| @angular/compiler, @angular/core | ≤ 18.2.14 | Δεν υπάρχει διαθέσιμη ενημέρωση κώδικα — απαιτείται αναβάθμιση |
Η εκμετάλλευση απαιτεί συγκεκριμένες συνθήκες: η εφαρμογή-στόχος πρέπει να χρησιμοποιεί SVG
Σύμφωνα με GitHub συμβουλευτικά, οι προγραμματιστές θα πρέπει να ενημερώσουν αμέσως το Angular σε επιδιορθωμένες εκδόσεις.
Μέχρι να εφαρμοστούν ενημερώσεις κώδικα, αποφύγετε τη χρήση δυναμικών συνδέσεων με στοιχεία σεναρίου SVG και εφαρμόστε αυστηρή επικύρωση εισόδου από την πλευρά του διακομιστή για τυχόν τιμές δυναμικών διευθύνσεων URL προτού φτάσουν σε πρότυπα.
