Plataforma
nodejs
Componente
@angular/ssr
Corrigido em
19.0.1
20.0.1
21.0.1
19.2.18
A vulnerabilidade CVE-2025-62427 representa uma falha de Server-Side Request Forgery (SSRF) identificada no pacote @angular/ssr, utilizado para renderização do lado do servidor em aplicações Angular. Essa falha permite que atacantes induzam o servidor a fazer requisições a recursos internos que normalmente não seriam acessíveis externamente, potencialmente expondo dados sensíveis ou comprometendo a segurança da aplicação. Versões anteriores a 19.2.18 são afetadas, e a correção recomendada é a atualização para essa versão ou a implementação de medidas de mitigação.
Um atacante explorando essa vulnerabilidade SSRF pode realizar requisições a serviços internos da rede, como bancos de dados, servidores de administração ou APIs internas, sem a necessidade de autenticação. Isso pode levar à exposição de informações confidenciais, como credenciais de acesso, dados de usuários ou informações de configuração. Além disso, o atacante pode utilizar o servidor vulnerável como um proxy para acessar recursos que normalmente estariam protegidos por firewalls ou outras medidas de segurança. O impacto potencial é significativo, podendo resultar em comprometimento da confidencialidade, integridade e disponibilidade dos sistemas afetados. A exploração bem-sucedida pode permitir o acesso não autorizado a dados sensíveis e a execução de ações maliciosas em nome do servidor vulnerável.
A vulnerabilidade CVE-2025-62427 foi publicada em 2025-10-16. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA no momento da publicação. A existência de um Proof of Concept (PoC) público ainda não foi confirmada, mas a natureza da vulnerabilidade SSRF sugere que um PoC pode ser desenvolvido relativamente facilmente. É importante monitorar a comunidade de segurança em busca de atualizações sobre a exploração desta vulnerabilidade.
Applications utilizing @angular/ssr for server-side rendering, particularly those deployed in environments with access to sensitive internal resources or services, are at risk. This includes applications using legacy Angular versions or those with misconfigured network access controls.
• nodejs / server:
# Check for vulnerable @angular/ssr versions
npm list @angular/ssr• nodejs / server:
# Monitor outbound requests for unusual destinations
netstat -an | grep '@angular/ssr'• generic web:
Inspect server logs for requests containing // or \\ in the URL path, especially those originating from untrusted sources.
disclosure
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
A mitigação primária para CVE-2025-62427 é a atualização para a versão 19.2.18 do @angular/ssr. Se a atualização imediata não for possível, é crucial implementar validação de URL robusta para garantir que as URLs fornecidas pelos usuários sejam devidamente sanitizadas e que requisições a recursos internos sejam evitadas. Implementar uma lista de permissão (whitelist) de domínios permitidos pode ser uma estratégia eficaz. Além disso, a configuração de firewalls e regras de rede para restringir o acesso a recursos internos pode ajudar a limitar o impacto da vulnerabilidade. Após a atualização, confirme a correção verificando se as requisições a recursos internos são bloqueadas e se a validação de URL está funcionando corretamente.
Atualize o pacote @angular/ssr para a versão 19.2.18, 20.3.6 ou 21.0.0-next.8, ou para uma versão posterior. Isso corrigirá a vulnerabilidade SSRF no mecanismo de resolução de URL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-62427 é uma vulnerabilidade SSRF no pacote @angular/ssr, permitindo que atacantes façam requisições internas não autorizadas. Afeta versões anteriores a 19.2.18, com um CVSS de 7.5 (ALTO).
Se você estiver utilizando uma versão do @angular/ssr anterior a 19.2.18, você está potencialmente afetado. Verifique a versão instalada e atualize se necessário.
A correção recomendada é atualizar para a versão 19.2.18 do @angular/ssr. Se a atualização não for possível, implemente validação de URL robusta.
Não há informações confirmadas sobre exploração ativa no momento, mas a natureza da vulnerabilidade SSRF sugere que pode ser explorada.
Consulte o site oficial do Angular e o repositório do @angular/ssr no npm para obter informações e atualizações sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.