CVE-2026-50557
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
W Angularze wykryto podatność w pakietach @angular/compiler i @angular/core, która pozwala na ominięcie mechanizmów sanityzacji elementów i atrybutów poprzez użycie specjalnie spreparowanych przestrzeni nazw. Atakujący może wstrzyknąć złośliwy szablon z elementami takimi jak <svg:script>, które nie są poprawnie identyfikowane jako skrypty, co prowadzi do wykonania skryptów po stronie klienta (XSS).
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku typu Cross-Site Scripting (XSS), co może skutkować kradzieżą danych użytkowników, przejęciem sesji lub modyfikacją treści strony.
Rekomendacja
Należy niezwłocznie zaktualizować Angular do wersji 22.0.0-rc.2, 21.2.15, 20.3.22 lub 19.2.22 w zależności od używanej gałęzi.
Oryginalny opis (angielski, źródło NVD)
Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.0-rc.2, 21.2.15, 20.3.22 and 19.2.22, an issue in the @angular/compiler and @angular/core packages allows bypassing element and attribute sanitization/validation through specific namespace workarounds. Specifically, namespaced script elements (e.g., <svg:script> or <:svg:script>) were not properly identified as script elements by the Angular template preparser, allowing them to pass through template compilation without being stripped. Furthermore, security context schema mappings for element attributes did not consistently handle attributes within namespaced elements (like SVG and MathML), opening up gaps where malicious namespaced attributes could bypass runtime and compile-time sanitizers. Combined, these flaws enable an attacker who can inject or supply a template/tag structure with custom namespaces to bypass Angular's script-stripping logic and attribute sanitizers, leading to client-side Cross-Site Scripting (XSS). This vulnerability is fixed in 22.0.0-rc.2, 21.2.15, 20.3.22 and 19.2.22.

