CVE-2026-52725
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 — wyżej niż 15% wszystkich znanych CVE
Streszczenie
W @angular/core do wersji 22.0.0-rc.2, 21.2.15, 20.3.22 i 19.2.23 występuje podatność polegająca na braku blokady montowania komponentów dynamicznych bezpośrednio na znaczniku <script> lub jego przestrzeni nazw (np. <svg:script>). Pozwala to atakującemu na wstrzyknięcie i wykonanie niezaufanego kodu w kontekście przeglądarki ofiary (XSS).
Ocena ryzyka
Atakujący może wykorzystać tę lukę do przejęcia sesji użytkownika, kradzieży danych lub wykonania dowolnych działań w imieniu ofiary w aplikacji Angular.
Rekomendacja
Niezwłocznie zaktualizuj @angular/core do wersji 22.0.0-rc.2, 21.2.15, 20.3.22 lub 19.2.23 (w zależności od używanej gałęzi). Jeśli aktualizacja nie jest możliwa, unikaj przekazywania niezaufanych danych jako parametru host element lub selector do funkcji createComponent.
Oryginalny opis (angielski, źródło NVD)
Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.0-rc.2, 21.2.15, 20.3.22, and 19.2.23, an issue in the @angular/core package allows bypassing script-execution restrictions during dynamic component creation. Specifically, the dynamic component instantiation mechanism (createComponent) failed to reject mounting components directly onto a <script> or namespaced script element (such as <svg:script>). This enabled the initialization of custom components on a tag that executes scripts, allowing attackers to hijack or inject script-executing hosts. This flaw enables an attacker who can control the host element or selector parameter passed to createComponent to initialize or mount an Angular component directly onto a <script> tag, leading to execution of untrusted code or client-side Cross-Site Scripting (XSS). This vulnerability is fixed in 22.0.0-rc.2, 21.2.15, 20.3.22, and 19.2.23.

