Platform
nodejs
Component
@angular/ssr
Opgelost in
19.0.1
20.0.1
21.0.1
19.2.18
CVE-2025-62427 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in het @angular/ssr pakket, gebruikt voor server-side rendering van Angular applicaties. Deze kwetsbaarheid stelt een aanvaller in staat om interne bronnen te benaderen die normaal gesproken niet toegankelijk zouden zijn. De kwetsbaarheid treedt op in versies van @angular/ssr tussen 7.0.0 en 19.2.17 (inclusief). Een upgrade naar versie 19.2.18 of hoger is vereist om de kwetsbaarheid te verhelpen.
De SSRF-kwetsbaarheid in @angular/ssr maakt het mogelijk voor een aanvaller om verzoeken te sturen vanaf de server naar interne bronnen, alsof ze afkomstig zijn van de server zelf. Dit kan leiden tot het blootleggen van gevoelige informatie, zoals interne configuratiebestanden, database credentials of andere interne services. Een aanvaller kan bijvoorbeeld interne API's benaderen die alleen toegankelijk zijn voor de server, of zelfs toegang krijgen tot andere systemen binnen het interne netwerk. De impact is verhoogd omdat SSRF vaak gebruikt kan worden als een springplank voor verdere aanvallen, zoals het verkrijgen van toegang tot andere systemen via interne netwerkverbindingen. Dit is vergelijkbaar met SSRF kwetsbaarheden die in andere frameworks zijn aangetroffen, waarbij de aanvaller de server misbruikt om interne bronnen te scannen en te exploiteren.
Op dit moment (2025-10-16) is er geen publieke exploit beschikbaar voor CVE-2025-62427. De kwetsbaarheid is recentelijk openbaar gemaakt. Er is geen vermelding op CISA KEV op dit moment. De ernst van de kwetsbaarheid (CVSS 7.5) suggereert een medium tot hoog risico, afhankelijk van de interne netwerkconfiguratie en de gevoeligheid van de interne bronnen. Het is aannemelijk dat er in de toekomst proof-of-concept exploits zullen verschijnen.
Applications utilizing @angular/ssr for server-side rendering, particularly those deployed in environments with access to sensitive internal resources or services, are at risk. This includes applications using legacy Angular versions or those with misconfigured network access controls.
• nodejs / server:
# Check for vulnerable @angular/ssr versions
npm list @angular/ssr• nodejs / server:
# Monitor outbound requests for unusual destinations
netstat -an | grep '@angular/ssr'• generic web:
Inspect server logs for requests containing // or \\ in the URL path, especially those originating from untrusted sources.
disclosure
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2025-62427 is het upgraden van @angular/ssr naar versie 19.2.18 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strenge validatie en sanitatie van alle URL's die door de applicatie worden verwerkt. Dit kan worden bereikt door een Web Application Firewall (WAF) te gebruiken om verdachte URL's te blokkeren, of door een proxy te configureren die alle uitgaande verzoeken filtert. Het is cruciaal om te voorkomen dat de applicatie URL's accepteert die beginnen met // of \, aangezien deze de basis-URL overschrijven. Na de upgrade, controleer de applicatielogboeken op ongebruikelijke verzoeken en configureer monitoring om verdere pogingen tot SSRF-aanvallen te detecteren.
Actualiseer het pakket @angular/ssr naar versie 19.2.18, 20.3.6 of 21.0.0-next.8, of een latere versie. Dit corrigeert de SSRF-kwetsbaarheid in het URL-resolutiemechanisme.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-62427 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in het @angular/ssr pakket, waardoor een aanvaller interne bronnen kan benaderen.
Ja, als u @angular/ssr gebruikt in versie 7.0.0 tot en met 19.2.17, bent u kwetsbaar voor deze SSRF kwetsbaarheid.
Upgrade @angular/ssr naar versie 19.2.18 of hoger. Implementeer indien nodig URL validatie en sanitatie als tijdelijke workaround.
Op dit moment is er geen bevestigde actieve exploitatie, maar de kwetsbaarheid is recentelijk openbaar gemaakt en het risico is aanwezig.
Raadpleeg de officiële Angular security advisories op de Angular website voor de meest recente informatie over CVE-2025-62427.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.