प्लेटफ़ॉर्म
nodejs
घटक
@angular/ssr
में ठीक किया गया
19.0.1
20.0.1
21.0.1
19.2.18
CVE-2025-62427 एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है जो Angular के सर्वर-साइड रेंडरिंग पैकेज (@angular/ssr) में मौजूद है। यह भेद्यता हमलावरों को आंतरिक संसाधनों तक अनधिकृत पहुँच प्राप्त करने की अनुमति दे सकती है। यह भेद्यता @angular/ssr के 19.2.1 से पहले के संस्करणों को प्रभावित करती है, और इसे 19.2.18 में ठीक किया गया है।
यह SSRF भेद्यता @angular/ssr पैकेज के URL समाधान तंत्र में निहित है। createRequestUrl फ़ंक्शन, जो URL बनाने के लिए URL कंस्ट्रक्टर का उपयोग करता है, एक विशेष कमजोर स्थिति प्रदर्शित करता है। यदि आने वाले अनुरोध पथ (जैसे, originalUrl या url) दो आगे स्लैश (//) या एक बैकस्लैश (\\) से शुरू होता है, तो URL कंस्ट्रक्टर इसे एक स्कीमा-सापेक्ष URL के रूप में मानता है। यह व्यवहार सुरक्षा-उद्देशित आधार URL (प्रोटोकॉल, होस्ट और पोर्ट) को ओवरराइड करता है, जो दूसरे तर्क के रूप में प्रदान किया जाता है, और इसके बजाय स्कीमा के विरुद्ध URL को हल करता है। इसका मतलब है कि हमलावर आंतरिक सेवाओं या संसाधनों तक पहुँचने के लिए अनुरोध को हेरफेर कर सकते हैं जो सामान्य रूप से बाहरी पहुँच से सुरक्षित हैं। इस भेद्यता का उपयोग संवेदनशील डेटा को उजागर करने, आंतरिक सिस्टम को स्कैन करने या यहां तक कि आंतरिक सेवाओं पर हमला करने के लिए किया जा सकता है।
इस भेद्यता के बारे में जानकारी 2025-10-16 को सार्वजनिक की गई थी। अभी तक सार्वजनिक रूप से उपलब्ध कोई स्पष्ट शोषण नहीं है, लेकिन SSRF भेद्यताएँ अक्सर आंतरिक संसाधनों को उजागर करने के लिए उपयोग की जाती हैं। EPSS स्कोर का मूल्यांकन अभी तक नहीं किया गया है। इस भेद्यता को CISA KEV सूची में जोड़ा जाना बाकी है।
Applications utilizing @angular/ssr for server-side rendering, particularly those deployed in environments with access to sensitive internal resources or services, are at risk. This includes applications using legacy Angular versions or those with misconfigured network access controls.
• nodejs / server:
# Check for vulnerable @angular/ssr versions
npm list @angular/ssr• nodejs / server:
# Monitor outbound requests for unusual destinations
netstat -an | grep '@angular/ssr'• generic web:
Inspect server logs for requests containing // or \\ in the URL path, especially those originating from untrusted sources.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (17% शतमक)
CISA SSVC
CVE-2025-62427 को कम करने के लिए, @angular/ssr को संस्करण 19.2.18 या उच्चतर में अपग्रेड करना आवश्यक है। यदि अपग्रेड तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग करके उन अनुरोधों को ब्लॉक किया जा सकता है जो दो आगे स्लैश (//) या एक बैकस्लैश (\\) से शुरू होते हैं। इसके अतिरिक्त, एप्लिकेशन कोड को संशोधित करके URL सत्यापन और सैनिटाइजेशन को मजबूत किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि केवल अपेक्षित URL ही संसाधित किए जा रहे हैं। अपग्रेड के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, URL को हेरफेर करने का प्रयास करके और यह सुनिश्चित करके कि आंतरिक संसाधनों तक पहुँच अवरुद्ध है।
@angular/ssr पैकेज को संस्करण 19.2.18, 20.3.6 या 21.0.0-next.8, या बाद के संस्करण में अपडेट करें। यह URL समाधान तंत्र में SSRF भेद्यता को ठीक कर देगा।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-62427 @angular/ssr पैकेज में पाई गई एक सर्वर-साइड रिक्वेस्ट फोर्जरी (SSRF) भेद्यता है, जो हमलावरों को आंतरिक संसाधनों तक पहुँचने की अनुमति दे सकती है।
यदि आप @angular/ssr के संस्करण 19.2.1 से पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-62427 को ठीक करने के लिए, @angular/ssr को संस्करण 19.2.18 या उच्चतर में अपग्रेड करें।
अभी तक सार्वजनिक रूप से उपलब्ध कोई स्पष्ट शोषण नहीं है, लेकिन SSRF भेद्यताएँ अक्सर आंतरिक संसाधनों को उजागर करने के लिए उपयोग की जाती हैं।
कृपया Angular की आधिकारिक वेबसाइट पर जाएँ या भेद्यता के बारे में अधिक जानकारी के लिए Angular सुरक्षा सलाहकारों की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।