CVE-2026-22610
ŚrednieCVSS 6.1Streszczenie
W Angularze, platformie do tworzenia aplikacji webowych, zidentyfikowano podatność typu cross-site scripting (XSS) w kompilatorze szablonów. Problem wynika z niewłaściwego rozpoznawania atrybutów href i xlink:href w elementach SVG <script> jako kontekstu URL zasobów. Został on naprawiony w wersjach 19.2.18, 20.3.16, 21.0.7 oraz 21.1.0-rc.0.
Ocena ryzyka
Organizacje korzystające z podatnych wersji Angulara mogą być narażone na ataki XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Wykorzystanie tej podatności może zagrażać bezpieczeństwu aplikacji webowych.
Rekomendacja
Zaleca się aktualizację Angulara do wersji 19.2.18, 20.3.16, 21.0.7 lub 21.1.0-rc.0, aby usunąć tę podatność. Należy również przeprowadzić audyt aplikacji w celu zidentyfikowania potencjalnych zagrożeń związanych z XSS.
Oryginalny opis (angielski, źródło NVD)
Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to versions 19.2.18, 20.3.16, 21.0.7, and 21.1.0-rc.0, a cross-site scripting (XSS) vulnerability has been identified in the Angular Template Compiler. The vulnerability exists because Angular’s internal sanitization schema fails to recognize the href and xlink:href attributes of SVG <script> elements as a Resource URL context. This issue has been patched in versions 19.2.18, 20.3.16, 21.0.7, and 21.1.0-rc.0.

