Platform
nodejs
Component
@angular/ssr
Opgelost in
21.2.1
21.0.1
20.0.1
19.2.22
16.2.1
16.2.1
21.2.0-rc.1
Een Server-Side Request Forgery (SSRF) kwetsbaarheid is ontdekt in de Angular SSR (Server-Side Rendering) request handling pipeline. Deze kwetsbaarheid ontstaat doordat de interne URL reconstructie logica van Angular direct vertrouwt op en verbruikt user-gecontroleerde HTTP headers, zoals Host en X-Forwarded-*, om de applicatie's basis oorsprong te bepalen, zonder enige validatie van de afkomstbestemming. De kwetsbaarheid beïnvloedt versies van @angular/ssr die eerder zijn dan 21.2.0-rc.1. Het is essentieel om te upgraden naar de beveiligde versie om de risico's te minimaliseren.
Met deze SSRF kwetsbaarheid kan een aanvaller interne bronnen benaderen die normaal gesproken niet toegankelijk zijn vanaf het publieke internet. Dit omvat interne API's, databases en andere gevoelige systemen. Door de manipulatie van HTTP headers, zoals de Host en X-Forwarded-* headers, kan de aanvaller de Angular SSR applicatie ertoe aanzetten verzoeken te sturen naar onbedoelde bestemmingen. Dit kan leiden tot data-exfiltratie, configuratie wijzigingen of zelfs de mogelijkheid om interne systemen te compromitteren. Een succesvolle exploitatie kan de vertrouwelijkheid, integriteit en beschikbaarheid van de applicatie en de onderliggende infrastructuur in gevaar brengen. Het is vergelijkbaar met SSRF kwetsbaarheden die in andere frameworks zijn aangetroffen, waarbij het vertrouwen op user-gecontroleerde input zonder validatie tot ongeautoriseerde toegang leidt.
Deze kwetsbaarheid is openbaar gemaakt op 2026-02-25. Er is momenteel geen informatie beschikbaar over actieve exploits in de wildernis, maar de kwetsbaarheid heeft een CRITICAL CVSS score, wat wijst op een hoog risico. Er zijn geen bekende public proof-of-concept exploits op het moment van schrijven. Het is aan te raden om de kwetsbaarheid serieus te nemen en onmiddellijk de aanbevolen mitigatiestappen te implementeren.
Applications using @angular/ssr for server-side rendering, particularly those deployed in environments with complex network configurations or shared hosting, are at risk. Legacy applications that haven't been updated to the latest @angular/ssr version are especially vulnerable.
• nodejs: Monitor application logs for unusual outbound HTTP requests to internal IP addresses or unexpected domains. Use netstat or ss to identify connections to internal resources.
netstat -an | grep <internal_ip_address>• nodejs: Inspect the Host and X-Forwarded-* headers in incoming requests for suspicious values. Implement logging of these headers for auditing purposes.
console.log('Host header:', req.headers.host);
console.log('X-Forwarded-Host header:', req.headers['x-forwarded-host']);• generic web: Examine access logs for requests with unusual Host headers or X-Forwarded-* headers pointing to internal resources. Look for patterns indicative of port scanning or internal resource discovery.
disclosure
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden naar @angular/ssr versie 21.2.0-rc.1 of hoger, waarin de kwetsbaarheid is verholpen. Indien een upgrade niet direct mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van strikte validatie van de afkomstbestemming in de Angular SSR request handling pipeline. Dit kan worden bereikt door de Host en X-Forwarded- headers te valideren en te verifiëren dat ze overeenkomen met de verwachte oorsprong. Daarnaast kan het configureren van een Web Application Firewall (WAF) helpen om kwaadaardige verzoeken te blokkeren. Controleer ook de configuratie van de reverse proxy om ervoor te zorgen dat de X-Forwarded- headers correct worden ingesteld en gevalideerd. Na de upgrade, verifieer de correcte werking door te proberen een verzoek naar een interne bron te sturen via een gemanipuleerde Host header.
Werk Angular SSR bij naar versie 21.2.0-rc.1, 21.1.5, 20.3.17 of 19.2.21 of hoger. Indien een directe update niet mogelijk is, vermijd dan het gebruik van `req.headers` voor URL constructie en gebruik betrouwbare variabelen voor de API base routes. Implementeer een middleware in uw `server.ts` om numerieke poorten en gevalideerde hostnamen af te dwingen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-27739 is a critical SSRF vulnerability in the @angular/ssr component, allowing attackers to manipulate HTTP headers and access internal resources.
You are affected if you are using @angular/ssr versions prior to 21.2.0-rc.1 and have not implemented header validation.
Upgrade to @angular/ssr version 21.2.0-rc.1 or later. If upgrading is not possible, implement strict header validation to prevent header manipulation.
While no widespread exploitation has been confirmed, the SSRF nature of the vulnerability makes it a potential target for attackers.
Refer to the official Angular security advisories for detailed information and updates regarding CVE-2026-27739.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.