CVE-2026-50170
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
W Angularze wykryto podatność w module @angular/common, gdy włączone jest renderowanie po stronie serwera (SSR) i hydratacja. Mechanizm HttpTransferCache nie sprawdza flagi withCredentials ani nagłówka Cookie, co powoduje buforowanie odpowiedzi uwierzytelnionych użytkowników w współdzielonym stanie TransferState. Może to prowadzić do wycieku danych między użytkownikami przez warstwy buforujące, takie jak CDN czy proxy.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych danych użytkowników, ponieważ prywatne odpowiedzi HTTP z danymi uwierzytelniającymi mogą być buforowane i udostępniane innym osobom. Atakujący może wykorzystać to do kradzieży danych sesji lub innych informacji wrażliwych.
Rekomendacja
Należy natychmiast zaktualizować Angular do wersji 22.0.0-rc.2, 21.2.15, 20.3.22 lub 19.2.23, w zależności od używanej gałęzi. Jeśli aktualizacja nie jest możliwa, tymczasowo wyłącz SSR lub hydratację dla wrażliwych aplikacji.
Oryginalny opis (angielski, źródło NVD)
Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.0-rc.2, 21.2.15, 20.3.22, and 19.2.23, a vulnerability was discovered in @angular/common when Server-Side Rendering (SSR) and hydration are enabled. The HttpTransferCache utility optimizes hydration by caching outgoing HTTP requests performed during SSR and transferring the cached state to the client-side application via TransferState. However, the caching mechanism fails to inspect the withCredentials flag or the Cookie header of outgoing requests. As a result, credentialed, user-specific responses may be cached by default in the shared TransferState payload. When these responses are serialized into the HTML, any caching layer (such as a CDN, reverse proxy, or shared server cache) that caches the SSR-rendered HTML page could inadvertently cache and leak one user's private data to other users, leading to a high-severity information disclosure vulnerability. This vulnerability is fixed in 22.0.0-rc.2, 21.2.15, 20.3.22, and 19.2.23.

