CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-32635

Critical
Published: Translated: NVD NIST

Summary

W platformie Angular zidentyfikowano podatność typu Cross-Site Scripting (XSS) w wersjach przed 22.0.0-next.3, 21.2.4, 20.3.18 i 19.2.20. Problem występuje, gdy aplikacja używa atrybutu wrażliwego na bezpieczeństwo w połączeniu z możliwością internacjonalizacji atrybutów, co może prowadzić do wstrzyknięcia złośliwego skryptu.

Risk Assessment

Podatność ta może umożliwić atakującym wstrzyknięcie złośliwego kodu, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji oraz danych użytkowników. Organizacje mogą być narażone na utratę danych i reputacji.

Recommendation

Zaleca się aktualizację do wersji 22.0.0-next.3, 21.2.4, 20.3.18 lub 19.2.20, aby usunąć tę podatność. Należy również przeprowadzić audyt aplikacji w celu identyfikacji i zabezpieczenia wrażliwych atrybutów.

Original NVD description (English source)

Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.0-next.3, 21.2.4, 20.3.18, and 19.2.20, a Cross-Site Scripting (XSS) vulnerability has been identified in the Angular runtime and compiler. It occurs when the application uses a security-sensitive attribute (for example href on an anchor tag) together with Angular's ability to internationalize attributes. Enabling internationalization for the sensitive attribute by adding i18n-<attribute> name bypasses Angular's built-in sanitization mechanism, which when combined with a data binding to untrusted user-generated data can allow an attacker to inject a malicious script. This vulnerability is fixed in 22.0.0-next.3, 21.2.4, 20.3.18, and 19.2.20.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS