CVE-2026-50169
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 6 - wyżej niż 6% wszystkich znanych CVE
Streszczenie
Podatność w pakiecie @angular/service-worker powoduje, że podczas rekonstrukcji żądań sieciowych dla dopasowanych zasobów usługa Service Worker usuwa ścisłą politykę przekierowań (np. redirect: 'error'), zastępując ją domyślnym zachowaniem przeglądarki 'follow'. Może to prowadzić do nieautoryzowanego śledzenia przekierowań HTTP 3xx, co stwarza ryzyko wycieku ciasteczek, poświadczeń lub danych chronionych sesją.
Ocena ryzyka
Organizacja narażona jest na potencjalny wyciek poufnych danych, jeśli aplikacja Angular używa ścisłej polityki przekierowań, a Service Worker nieumyślnie działa jako pośrednik, umożliwiając dostęp do wrażliwych zasobów przez publiczne dynamiczne trasy.
Rekomendacja
Należy niezwłocznie zaktualizować @angular/service-worker do wersji 22.0.0-rc.2, 21.2.15, 20.3.22 lub 19.2.23, w zależności od używanej głównej wersji Angulara.
Oryginalny opis (angielski, źródło NVD)
Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.0-rc.2, 21.2.15 20.3.22, and 19.2.23, an issue in the @angular/service-worker package compromises the integrity of request-policy enforcement during request reconstruction. When the Angular Service Worker intercepts network requests for matched assets, it reconstructs a new Request object using an internal helper function. During this reconstruction process, the helper function strips the strict, client-defined request redirect policy configuration (such as redirect: 'error'), falling back to the browser's default 'follow' strategy. If the target web application makes client-side requests with a strict policy (e.g., expecting a network error instead of automatically following redirects), the service worker will bypass this instruction and automatically follow HTTP 3xx redirects to other destinations. This acts as an unintended proxy/intermediary ("Confused Deputy") and can result in cookie/credential exposure or same-origin session-restricted data leakage if public dynamic routes redirect to sensitive routes. This vulnerability is fixed in 22.0.0-rc.2, 21.2.15, 20.3.22, and 19.2.23.

