Plateforme
nodejs
Composant
@angular/ssr
Corrigé dans
21.2.1
21.0.1
20.0.1
19.2.22
16.2.1
16.2.1
21.2.0-rc.1
Une vulnérabilité de Server-Side Request Forgery (SSRF) a été découverte dans le pipeline de gestion des requêtes Angular SSR (@angular/ssr). Cette faille est due à la confiance aveugle accordée aux en-têtes HTTP contrôlés par l'utilisateur, notamment les en-têtes Host et X-Forwarded-*, pour déterminer l'origine de l'application. Les versions concernées sont celles antérieures à 21.2.0-rc.1. Une version corrigée est désormais disponible.
Cette vulnérabilité SSRF permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources internes ou externes auxquelles il ne devrait pas avoir accès. En manipulant les en-têtes HTTP Host et X-Forwarded-*, un attaquant peut contourner les contrôles d'accès et accéder à des données sensibles, exécuter des actions en tant que le serveur ou même compromettre d'autres systèmes connectés au réseau interne. Le risque est amplifié si l'application Angular SSR interagit avec des services internes non exposés publiquement. Cette faille pourrait être exploitée de manière similaire à des attaques SSRF observées dans d'autres frameworks, permettant un accès non autorisé à des métadonnées, des fichiers de configuration ou des API internes.
Cette vulnérabilité a été rendue publique le 25 février 2026. Bien qu'il n'y ait pas d'indication d'une exploitation active à ce jour, la sévérité critique de la vulnérabilité et la facilité potentielle d'exploitation justifient une attention particulière. Il est possible que des preuves de concept (PoC) soient rapidement disponibles, augmentant le risque d'exploitation. Il est conseillé de surveiller les sources d'information sur les vulnérabilités et les alertes de sécurité.
Applications using @angular/ssr for server-side rendering, particularly those deployed in environments with complex network configurations or shared hosting, are at risk. Legacy applications that haven't been updated to the latest @angular/ssr version are especially vulnerable.
• nodejs: Monitor application logs for unusual outbound HTTP requests to internal IP addresses or unexpected domains. Use netstat or ss to identify connections to internal resources.
netstat -an | grep <internal_ip_address>• nodejs: Inspect the Host and X-Forwarded-* headers in incoming requests for suspicious values. Implement logging of these headers for auditing purposes.
console.log('Host header:', req.headers.host);
console.log('X-Forwarded-Host header:', req.headers['x-forwarded-host']);• generic web: Examine access logs for requests with unusual Host headers or X-Forwarded-* headers pointing to internal resources. Look for patterns indicative of port scanning or internal resource discovery.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
La mitigation principale consiste à mettre à jour @angular/ssr vers la version 21.2.0-rc.1 ou ultérieure. En attendant, des mesures temporaires peuvent être prises. Il est crucial de valider et de désinfecter tous les en-têtes HTTP entrants, en particulier Host et X-Forwarded-. La configuration d'un proxy inverse ou d'un Web Application Firewall (WAF) peut aider à bloquer les requêtes malveillantes. Des règles WAF peuvent être configurées pour bloquer les requêtes contenant des en-têtes Host suspects ou des adresses IP internes. Après la mise à jour, vérifiez que les en-têtes Host et X-Forwarded- sont correctement validés et que les requêtes vers des ressources non autorisées sont bloquées.
Actualisez Angular SSR à la version 21.2.0-rc.1, 21.1.5, 20.3.17 ou 19.2.21 ou supérieure. Si vous ne pouvez pas mettre à jour immédiatement, évitez d'utiliser `req.headers` pour la construction d'URL et utilisez des variables fiables pour les routes de base de l'API. Implémentez un middleware dans votre `server.ts` pour appliquer des ports numériques et des noms d'hôte validés.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-27739 is a critical SSRF vulnerability in the @angular/ssr component, allowing attackers to manipulate HTTP headers and access internal resources.
You are affected if you are using @angular/ssr versions prior to 21.2.0-rc.1 and have not implemented header validation.
Upgrade to @angular/ssr version 21.2.0-rc.1 or later. If upgrading is not possible, implement strict header validation to prevent header manipulation.
While no widespread exploitation has been confirmed, the SSRF nature of the vulnerability makes it a potential target for attackers.
Refer to the official Angular security advisories for detailed information and updates regarding CVE-2026-27739.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.