数百万の開発者が使用している主要なWebフレームワークのAngularに深刻なセキュリティ上の欠陥があり、アプリケーションを攻撃にさらします。
CVE-2026-27970として追跡されているこの高危険度のクロスサイトスクリプティング(XSS)脆弱性は、フレームワークの国際化(i18n)システムに影響します。
翻訳ファイルを改ざんした攻撃者はユーザーのブラウザに有害なJavaScriptを注入して実行でき、データ盗難とアプリケーション破壊のリスクがあります。
Angularのi18nはプルーラル形や性別固有のテキストなど複雑な翻訳をICUメッセージフォーマットを使用して処理します。
開発者はメッセージを.xliffや.xtbなどのファイルに抽出し、翻訳のために外部チームに送り、結果をマージバックします。
問題点は何か?Angularはこれらの翻訳されたテキストのHTMLを完全にサニタイズしていません。攻撃者が翻訳プロセスをハックした場合、悪質なスクリプトを埋め込むことができます。
アプリケーションが汚染されたファイルを読み込むと、コードはアプリケーションのフルな権限で実行されます。
これは通常のXSSとは異なり、ユーザーが悪いデータを入力します。ここでは、翻訳ワークフロー上のサプライチェーン型攻撃で上流から侵害が始まります。
金融、e-commerce、またはエンタープライズダッシュボードのアプリケーションが最大の脅威に直面しています。単一の悪い翻訳ファイルが数千のユーザーに影響を与える可能性があります。
CVSS指標はネットワークアクセス(AV:N)と低い複雑性(AC:L)を示していますが、ページの読み込みなどのユーザー操作(UI:P)が必要です。
今すぐ更新:Angular 19.2.19、20.3.17、21.1.6、または21.2.0にパッチしてください。Angularのチームはi18nパイプラインのサニタイズを修正しました。
まだパッチを当てられませんか?すべてのサードパーティの翻訳を手動でチェックしてください。grepやIDE linterなどのツールを使用して.xliff/.xtbファイルをスクリプトについてスキャンしてください。
翻訳元: https://cyberpress.org/severe-xss-vulnerability/