Plataforma
nodejs
Componente
@angular/ssr
Corrigido em
21.2.1
21.0.1
20.0.1
19.2.22
16.2.1
16.2.1
21.2.0-rc.1
Uma vulnerabilidade de Server-Side Request Forgery (SSRF) foi identificada no pipeline de tratamento de requisições do Angular SSR (@angular/ssr). A falha ocorre devido à confiança direta e ao consumo de cabeçalhos HTTP controlados pelo usuário, como Host e X-Forwarded-*, para determinar a origem da aplicação, sem validação do domínio de destino. Essa falha permite que atacantes realizem requisições não autorizadas, potencialmente expondo dados sensíveis.
A exploração bem-sucedida desta vulnerabilidade SSRF permite que um atacante realize requisições HTTP arbitrárias em nome da aplicação Angular SSR. Isso pode levar à exposição de dados confidenciais, como credenciais de API, informações internas do sistema ou acesso a recursos protegidos em outras redes. Um atacante pode, por exemplo, escanear a rede interna em busca de serviços vulneráveis ou acessar dados que não deveriam estar acessíveis externamente. A falta de validação dos cabeçalhos Host e X-Forwarded-* torna a exploração relativamente simples, especialmente em ambientes onde esses cabeçalhos são manipulados.
Esta vulnerabilidade foi divulgada em 2026-02-25. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. A existência de um SSRF com CVSS 9.5 indica um alto potencial de exploração, e a ausência de validação de cabeçalhos HTTP torna a exploração relativamente fácil.
Applications using @angular/ssr for server-side rendering, particularly those deployed in environments with complex network configurations or shared hosting, are at risk. Legacy applications that haven't been updated to the latest @angular/ssr version are especially vulnerable.
• nodejs: Monitor application logs for unusual outbound HTTP requests to internal IP addresses or unexpected domains. Use netstat or ss to identify connections to internal resources.
netstat -an | grep <internal_ip_address>• nodejs: Inspect the Host and X-Forwarded-* headers in incoming requests for suspicious values. Implement logging of these headers for auditing purposes.
console.log('Host header:', req.headers.host);
console.log('X-Forwarded-Host header:', req.headers['x-forwarded-host']);• generic web: Examine access logs for requests with unusual Host headers or X-Forwarded-* headers pointing to internal resources. Look for patterns indicative of port scanning or internal resource discovery.
disclosure
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
A mitigação primária é atualizar para a versão @angular/ssr 21.2.0-rc.1 ou superior, que corrige a vulnerabilidade. Em ambientes onde a atualização imediata não é possível, considere implementar regras de firewall ou proxy para restringir o acesso à rede interna a partir da aplicação Angular SSR. Além disso, configure o servidor web para remover ou validar os cabeçalhos X-Forwarded-* antes de serem passados para a aplicação Angular. Monitore logs de acesso e erros em busca de requisições incomuns ou suspeitas originadas da aplicação Angular SSR.
Atualize Angular SSR para a versão 21.2.0-rc.1, 21.1.5, 20.3.17 ou 19.2.21 ou superior. Se não puder atualizar imediatamente, evite usar `req.headers` para a construção de URL e utilize variáveis confiáveis para as rotas base da API. Implemente um middleware em seu `server.ts` para aplicar portas numéricas e nomes de host validados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-27739 is a critical SSRF vulnerability in the @angular/ssr component, allowing attackers to manipulate HTTP headers and access internal resources.
You are affected if you are using @angular/ssr versions prior to 21.2.0-rc.1 and have not implemented header validation.
Upgrade to @angular/ssr version 21.2.0-rc.1 or later. If upgrading is not possible, implement strict header validation to prevent header manipulation.
While no widespread exploitation has been confirmed, the SSRF nature of the vulnerability makes it a potential target for attackers.
Refer to the official Angular security advisories for detailed information and updates regarding CVE-2026-27739.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.