CVE-2026-54265
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
W Angularze wykryto podatność w pakiecie @angular/compiler, która pozwala na ominięcie sanityzacji właściwości DOM przy użyciu dwukierunkowego wiązania danych. Gdy właściwość wymagająca sanityzacji (np. innerHTML, srcdoc, src, href, data, sandbox) jest wiązana dwukierunkowo (składnia [(...)] lub bindon-...), kompilator nie stosuje odpowiedniego sanitizera, co umożliwia atakującemu kontrolującemu wartość takiej właściwości przeprowadzenie ataku XSS po stronie klienta.
Ocena ryzyka
Atakujący może wstrzyknąć złośliwy kod JavaScript do aplikacji Angular, co prowadzi do kradzieży danych sesji, przejęcia kont użytkowników lub modyfikacji treści strony.
Rekomendacja
Należy niezwłocznie zaktualizować Angular do wersji 22.0.1, 21.2.17 lub 20.3.25 w zależności od używanej gałęzi. Po aktualizacji sprawdź, czy w kodzie nie występują dwukierunkowe wiązania wrażliwych właściwości DOM.
Oryginalny opis (angielski, źródło NVD)
Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.1, 21.2.17, and 20.3.25, an issue in the @angular/compiler package allows bypassing DOM property sanitization through the use of two-way property bindings. Specifically, when a native DOM property that requires sanitization (such as innerHTML, srcdoc, src, href, data, or sandbox) is bound using the two-way binding syntax (e.g., [(innerHTML)]="value" or bindon-innerHTML="value"), the Angular template compiler failed to apply the appropriate schema-derived sanitizer resolution to the TwoWayProperty operation. As a result, native two-way DOM bindings were emitted without the required sanitizer function, whereas equivalent one-way bindings would be properly sanitized. This flaw enables an attacker who can control the value of a two-way bound sensitive property to bypass Angular's built-in sanitization logic, potentially leading to client-side Cross-Site Scripting (XSS). This vulnerability is fixed in 22.0.1, 21.2.17, and 20.3.25.

