Platform
nodejs
Component
@angular/core
Opgelost in
22.0.0-next.3
21.2.4
20.3.18
19.2.20
22.0.0-next.3
21.2.4
20.3.18
19.2.20
22.0.0-next.3
Er is een Cross-Site Scripting (XSS) kwetsbaarheid ontdekt in de Angular runtime en compiler. Deze kwetsbaarheid treedt op wanneer een applicatie een security-gevoelig attribuut (zoals href op een anker-tag) combineert met Angular's mogelijkheid tot internationalisatie van attributen. Door internationalisatie in te schakelen voor het gevoelige attribuut, omzeilt men Angular's ingebouwde sanitatie mechanisme, wat in combinatie met data binding naar onbetrouwbare gebruikersdata, het mogelijk maakt om kwaadaardige scripts te injecteren. De kwetsbaarheid treft versies 21.0.0 tot en met 21.2.3 en kan worden verholpen door te upgraden naar versie 21.2.4.
Een succesvolle exploitatie van deze XSS-kwetsbaarheid kan een aanvaller in staat stellen om kwaadaardige JavaScript-code uit te voeren in de context van de slachtoffergebruiker. Dit kan leiden tot het stelen van sessiecookies, het wijzigen van de inhoud van de pagina, het omleiden van gebruikers naar kwaadaardige websites of het uitvoeren van andere schadelijke acties. De impact is aanzienlijk, omdat de kwetsbaarheid betrekking heeft op een veelgebruikte JavaScript-bibliotheek en kan worden misbruikt om gevoelige informatie te stelen of de integriteit van de applicatie te compromitteren. Het omzeilen van de sanitatie mechanismen maakt de exploitatie relatief eenvoudig, zeker voor aanvallers met kennis van Angular en XSS technieken.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds PoCs beschikbaar. De impact is hoog vanwege de wijdverspreide adoptie van Angular en de relatieve eenvoud van XSS-exploits. Er zijn momenteel geen meldingen van actieve campagnes die deze specifieke kwetsbaarheid misbruiken, maar het is waarschijnlijk dat dit in de toekomst zal gebeuren. De kwetsbaarheid is gepubliceerd op 2026-03-13 via het NVD.
Applications built with Angular versions 21.0.0 through 21.2.3 are at risk. This includes web applications, single-page applications (SPAs), and any other projects utilizing the @angular/core library. Teams relying on third-party components that depend on these vulnerable versions are also indirectly at risk.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object Name, Id, Path• generic web:
curl -I https://your-angular-app.com/ | grep -i 'x-xss-protection'• generic web:
Inspect the application's source code for instances of i18n- attributes used on security-sensitive HTML elements where the attribute value is bound to user-supplied data.
disclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden naar Angular versie 21.2.4 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van extra sanitatie lagen in de applicatiecode om de risico's te verminderen. Controleer de code op plaatsen waar security-gevoelige attributen worden gebruikt in combinatie met internationalisatie. WAF-regels kunnen worden ingesteld om verdachte patronen te detecteren en te blokkeren, maar dit is geen vervanging voor het toepassen van de patch. Het is belangrijk om de applicatie grondig te testen na de upgrade om er zeker van te zijn dat er geen onverwachte problemen optreden.
Werk Angular bij naar versie 22.0.0-next.3, 21.2.4, 20.3.18 of 19.2.20, of hoger, afhankelijk van uw huidige versie. Dit corrigeert de XSS kwetsbaarheid in de i18n attribuut binding.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32635 is a Cross-Site Scripting (XSS) vulnerability in @angular/core versions 21.0.0–21.2.3. It allows attackers to inject malicious scripts by bypassing Angular's sanitization when internationalizing security-sensitive attributes.
If your Angular application uses @angular/core versions 21.0.0 through 21.2.3 and utilizes internationalization with security-sensitive attributes, you are potentially affected.
Upgrade to @angular/core version 21.2.4 or later. Review your code to avoid using i18n-<attribute> on security-sensitive attributes with untrusted user input.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it likely that exploits will emerge.
Refer to the official Angular security advisory for detailed information and updates: https://github.com/angular/angular/security/advisories/GHSA-xxxx-xxxx-xxxx
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.