Plataforma
nodejs
Componente
@angular/core
Corrigido em
22.0.0-next.3
21.2.4
20.3.18
19.2.20
22.0.0-next.3
21.2.4
20.3.18
19.2.20
22.0.0-next.3
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi identificada no runtime e compilador do @angular/core. A falha ocorre quando aplicações utilizam atributos sensíveis à segurança (como 'href' em uma tag âncora) em conjunto com a capacidade do Angular de internacionalizar atributos. A ativação da internacionalização para o atributo sensível, adicionando o prefixo i18n-<atributo>, contorna o mecanismo de sanitização interno do Angular, permitindo a injeção de scripts maliciosos quando combinado com data binding para dados gerados pelo usuário.
Um atacante pode explorar esta vulnerabilidade para injetar scripts maliciosos em aplicações Angular vulneráveis. Ao manipular atributos sensíveis com internacionalização, o atacante pode contornar as proteções de sanitização do Angular e executar código JavaScript arbitrário no navegador da vítima. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement do site ou outras ações maliciosas. A exploração bem-sucedida pode comprometer a confidencialidade, integridade e disponibilidade da aplicação e dos dados do usuário.
Esta vulnerabilidade foi divulgada em 13 de março de 2026. Não há evidências de exploração ativa em campanhas conhecidas no momento da publicação. A pontuação de probabilidade de exploração (EPSS) ainda está pendente de avaliação. É recomendável aplicar as correções o mais rápido possível para evitar possíveis ataques.
Applications built with Angular versions 21.0.0 through 21.2.3 are at risk. This includes web applications, single-page applications (SPAs), and any other projects utilizing the @angular/core library. Teams relying on third-party components that depend on these vulnerable versions are also indirectly at risk.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*node*'} | Select-Object Name, Id, Path• generic web:
curl -I https://your-angular-app.com/ | grep -i 'x-xss-protection'• generic web:
Inspect the application's source code for instances of i18n- attributes used on security-sensitive HTML elements where the attribute value is bound to user-supplied data.
disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
A mitigação primária para esta vulnerabilidade é atualizar o @angular/core para a versão 21.2.4 ou superior, que corrige a falha. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como a validação e sanitização rigorosas de todos os dados gerados pelo usuário antes de serem usados em atributos sensíveis. Além disso, revise o código da aplicação em busca de padrões de uso de internacionalização em atributos sensíveis e aplique as correções necessárias. Monitore logs de aplicação em busca de tentativas de injeção de script.
Atualize o Angular para a versão 22.0.0-next.3, 21.2.4, 20.3.18 ou 19.2.20, ou superior, conforme apropriado para sua versão atual. Isso corrige a vulnerabilidade XSS no link de atributos i18n.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32635 is a Cross-Site Scripting (XSS) vulnerability in @angular/core versions 21.0.0–21.2.3. It allows attackers to inject malicious scripts by bypassing Angular's sanitization when internationalizing security-sensitive attributes.
If your Angular application uses @angular/core versions 21.0.0 through 21.2.3 and utilizes internationalization with security-sensitive attributes, you are potentially affected.
Upgrade to @angular/core version 21.2.4 or later. Review your code to avoid using i18n-<attribute> on security-sensitive attributes with untrusted user input.
As of now, there are no confirmed reports of active exploitation, but the vulnerability's nature makes it likely that exploits will emerge.
Refer to the official Angular security advisory for detailed information and updates: https://github.com/angular/angular/security/advisories/GHSA-xxxx-xxxx-xxxx
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.