Katalog CVE

CVE-2026-52725

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 — wyżej niż 15% wszystkich znanych CVE

Streszczenie

W @angular/core do wersji 22.0.0-rc.2, 21.2.15, 20.3.22 i 19.2.23 występuje podatność polegająca na braku blokady montowania komponentów dynamicznych bezpośrednio na znaczniku <script> lub jego przestrzeni nazw (np. <svg:script>). Pozwala to atakującemu na wstrzyknięcie i wykonanie niezaufanego kodu w kontekście przeglądarki ofiary (XSS).

Ocena ryzyka

Atakujący może wykorzystać tę lukę do przejęcia sesji użytkownika, kradzieży danych lub wykonania dowolnych działań w imieniu ofiary w aplikacji Angular.

Rekomendacja

Niezwłocznie zaktualizuj @angular/core do wersji 22.0.0-rc.2, 21.2.15, 20.3.22 lub 19.2.23 (w zależności od używanej gałęzi). Jeśli aktualizacja nie jest możliwa, unikaj przekazywania niezaufanych danych jako parametru host element lub selector do funkcji createComponent.

Oryginalny opis (angielski, źródło NVD)

Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.0-rc.2, 21.2.15, 20.3.22, and 19.2.23, an issue in the @angular/core package allows bypassing script-execution restrictions during dynamic component creation. Specifically, the dynamic component instantiation mechanism (createComponent) failed to reject mounting components directly onto a <script> or namespaced script element (such as <svg:script>). This enabled the initialization of custom components on a tag that executes scripts, allowing attackers to hijack or inject script-executing hosts. This flaw enables an attacker who can control the host element or selector parameter passed to createComponent to initialize or mount an Angular component directly onto a <script> tag, leading to execution of untrusted code or client-side Cross-Site Scripting (XSS). This vulnerability is fixed in 22.0.0-rc.2, 21.2.15, 20.3.22, and 19.2.23.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS