Angularのテンプレートコンパイラに高リスクのクロスサイトスクリプティング(XSS)脆弱性が発見され、数百万のWebアプリケーションが悪意のあるJavaScript実行にさらされる可能性があります。
この欠陥はCVE-2026-22610として追跡されており、Angularのコアパッケージの複数バージョンに影響します。CVSSスコアは7.3/10で、重大度は「高」と評価されています。
| 属性 | 詳細 |
|---|---|
| CVE ID | CVE-2026-22610 |
| 重大度 | 高(CVSS 4.0: 7.3/10) |
| 脆弱性の種類 | クロスサイトスクリプティング(XSS)– CWE-79 |
脆弱性の詳細
このセキュリティ上の欠陥は、Angularの内部サニタイズスキーマが、SVGの<script>要素におけるhrefおよびxlink:href属性をリソースURLコンテキストとして適切に認識できないことに起因します。
この見落としにより、テンプレートバインディングでユーザーが制御できるデータをこれらの属性に割り当てた場合、攻撃者はAngularの組み込みセキュリティ保護を回避できてしまいます。
開発者が<script [attr.href]=”userInput”>のようにプロパティバインディングまたは属性バインディングを使用すると、コンパイラは悪意のある入力を潜在的に危険なリソースリンクではなく、通常の文字列として誤って扱います。
攻撃者はこれを悪用し、JavaScriptを含むdata URI(data: text/javascript)を注入したり、外部の悪意あるスクリプトURLを使用したりできます。
悪用に成功すると、被害者のブラウザセッション内で任意のJavaScriptが実行され、セッションハイジャック、データ流出、認証済みユーザーになりすました不正操作につながります。
ただし、悪用には特定の前提条件があります。アプリケーションがSVGの<script>要素でhrefまたはxlink:href属性に対するプロパティバインディングを使用していること、そしてバインドされるデータが信頼できないソースに由来することが必要です。
Angularは複数のバージョンブランチにわたりパッチを公開しました。管理者は直ちに修正済みバージョンである19.2.18、20.3.16、21.0.7、または21.1.0-rc.0へ更新してください。
パッチ適用までの間、開発者はSVGの<script>要素に対する動的バインディングを避け、信頼できるURLの許可リストに基づく厳格なサーバーサイド入力検証を実装してください。
Angularフレームワークを使用している組織は、自社のWebアプリケーションが悪用される可能性を防ぐため、この更新を優先すべきです。
翻訳元: https://gbhackers.com/new-angular-vulnerability/
