Plateforme
nodejs
Composant
@angular/core
Corrigé dans
22.0.0-next.3
21.2.4
20.3.18
19.2.20
22.0.0-next.3
21.2.4
20.3.18
19.2.20
22.0.0-next.3
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans le runtime et le compilateur Angular. Cette faille se manifeste lorsque l'application utilise un attribut sensible (par exemple, href sur une balise ancrée) conjointement avec la capacité d'Angular à internationaliser les attributs. L'activation de l'internationalisation pour l'attribut sensible en ajoutant le préfixe i18n-<attribut> contourne le mécanisme de sanitisation intégré d'Angular, ce qui, combiné à une liaison de données vers des données générées par l'utilisateur non fiables, peut permettre à un attaquant d'injecter un script malveillant. Les versions affectées sont comprises entre 21.0.0 et 21.2.3 inclus.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web consultées par les utilisateurs. Ce code peut être utilisé pour voler des informations sensibles telles que des cookies de session, des jetons d'authentification ou des données personnelles. L'attaquant peut également rediriger les utilisateurs vers des sites web malveillants, modifier le contenu de la page web ou effectuer des actions au nom de l'utilisateur affecté. Le risque est particulièrement élevé si l'application Angular est utilisée pour gérer des informations sensibles ou si elle est intégrée à d'autres systèmes critiques. Cette vulnérabilité exploite une faille dans le processus de sanitisation d'Angular, ce qui la rend potentiellement difficile à détecter et à prévenir.
Cette vulnérabilité a été rendue publique le 13 mars 2026. Il n'y a pas d'indication d'une exploitation active à grande échelle à ce jour. Aucune entrée n'apparaît dans le catalogue KEV de CISA. Des preuves de concept (PoC) publiques sont susceptibles d'émerger rapidement compte tenu de la nature de la vulnérabilité XSS et de sa facilité d'exploitation.
Applications built with Angular versions 21.0.0 through 21.2.3 are at risk. This includes web applications, single-page applications (SPAs), and any other projects utilizing the @angular/core library. Teams relying on third-party components that depend on these vulnerable versions are also indirectly at risk.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object Name, Id, Path• generic web:
curl -I https://your-angular-app.com/ | grep -i 'x-xss-protection'• generic web:
Inspect the application's source code for instances of i18n- attributes used on security-sensitive HTML elements where the attribute value is bound to user-supplied data.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
La mitigation principale consiste à mettre à jour la bibliothèque @angular/core vers la version 21.2.4 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à désactiver l'internationalisation pour les attributs sensibles. Il est également recommandé de valider et de désinfecter toutes les données générées par l'utilisateur avant de les utiliser dans les liaisons de données Angular. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'exploitation de cette vulnérabilité en filtrant les requêtes malveillantes. Enfin, surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte.
Mettez à jour Angular à la version 22.0.0-next.3, 21.2.4, 20.3.18 ou 19.2.20, ou supérieure, selon la version actuelle. Cela corrige la vulnérabilité XSS dans le lien d'attributs i18n.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32635 is a Cross-Site Scripting (XSS) vulnerability in @angular/core versions 21.0.0–21.2.3. It allows attackers to inject malicious scripts by bypassing Angular's sanitization when internationalizing security-sensitive attributes.
If your Angular application uses @angular/core versions 21.0.0 through 21.2.3 and utilizes internationalization with security-sensitive attributes, you are potentially affected.
Upgrade to @angular/core version 21.2.4 or later. Review your code to avoid using i18n-<attribute> on security-sensitive attributes with untrusted user input.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it likely that exploits will emerge.
Refer to the official Angular security advisory for detailed information and updates: https://github.com/angular/angular/security/advisories/GHSA-xxxx-xxxx-xxxx
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.