Plataforma
nodejs
Componente
@angular/ssr
Corregido en
21.2.1
21.0.1
20.0.1
19.2.22
16.2.1
16.2.1
21.2.0-rc.1
Se ha identificado una vulnerabilidad de Server-Side Request Forgery (SSRF) en el pipeline de manejo de solicitudes de Angular SSR (@angular/ssr). Esta vulnerabilidad se debe a que la lógica interna de reconstrucción de URL de Angular confía directamente en encabezados HTTP controlados por el usuario, como Host y X-Forwarded-*, para determinar el origen de la aplicación sin validar el dominio de destino. La vulnerabilidad afecta a versiones anteriores a 21.2.0-rc.1. La actualización a la versión corregida es la solución recomendada.
Un atacante puede explotar esta vulnerabilidad para realizar solicitudes a recursos internos que normalmente no serían accesibles desde el exterior. Esto podría incluir el acceso a bases de datos, sistemas de gestión interna, o incluso la ejecución de comandos en el servidor. La falta de validación de los encabezados Host y X-Forwarded-* permite a un atacante manipular la solicitud para que el servidor realice una solicitud a un dominio controlado por el atacante o a un recurso interno sensible. El impacto potencial es significativo, pudiendo resultar en la exposición de información confidencial, la toma de control del servidor, o la interrupción del servicio.
Esta vulnerabilidad ha sido publicada públicamente el 2026-02-25. No se ha confirmado la explotación activa en entornos reales, pero la alta puntuación CVSS (9.5) indica un riesgo significativo. Es importante implementar las mitigaciones lo antes posible para evitar posibles ataques. La naturaleza de SSRF hace que esta vulnerabilidad sea susceptible a explotación automatizada.
Applications using @angular/ssr for server-side rendering, particularly those deployed in environments with complex network configurations or shared hosting, are at risk. Legacy applications that haven't been updated to the latest @angular/ssr version are especially vulnerable.
• nodejs: Monitor application logs for unusual outbound HTTP requests to internal IP addresses or unexpected domains. Use netstat or ss to identify connections to internal resources.
netstat -an | grep <internal_ip_address>• nodejs: Inspect the Host and X-Forwarded-* headers in incoming requests for suspicious values. Implement logging of these headers for auditing purposes.
console.log('Host header:', req.headers.host);
console.log('X-Forwarded-Host header:', req.headers['x-forwarded-host']);• generic web: Examine access logs for requests with unusual Host headers or X-Forwarded-* headers pointing to internal resources. Look for patterns indicative of port scanning or internal resource discovery.
disclosure
Estado del Exploit
EPSS
0.05% (17% percentil)
CISA SSVC
La mitigación principal es actualizar a la versión 21.2.0-rc.1 o superior de @angular/ssr. Si la actualización no es inmediatamente posible, se recomienda implementar validación de dominios en la lógica de reconstrucción de URL de Angular. Esto implica verificar que el dominio de destino sea un dominio permitido antes de realizar la solicitud. Además, se recomienda configurar un Web Application Firewall (WAF) para bloquear solicitudes con encabezados Host o X-Forwarded-* sospechosos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando los logs del servidor y realizando pruebas de penetración.
Actualice Angular SSR a la versión 21.2.0-rc.1, 21.1.5, 20.3.17 o 19.2.21 o superior. Si no puede actualizar inmediatamente, evite usar `req.headers` para la construcción de URL y utilice variables confiables para las rutas base de la API. Implemente un middleware en su `server.ts` para aplicar puertos numéricos y nombres de host validados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27739 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en @angular/ssr que permite a atacantes realizar solicitudes a recursos internos. Tiene una severidad CRÍTICA (CVSS 9.5).
Si está utilizando una versión de @angular/ssr anterior a 21.2.0-rc.1, es probable que esté afectado. Revise su versión actual y aplique la actualización.
La solución recomendada es actualizar a la versión 21.2.0-rc.1 o superior de @angular/ssr. Si no es posible, implemente validación de dominios en su aplicación.
Aunque no se ha confirmado la explotación activa, la alta puntuación CVSS indica un riesgo significativo y es importante aplicar las mitigaciones lo antes posible.
Consulte la documentación oficial de Angular y las notas de la versión de @angular/ssr para obtener más información sobre esta vulnerabilidad y la solución.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.