概要
Angular の ランタイム と コンパイラ に クロスサイト スクリプティング(XSS)脆弱性 が 発見 されました。
href(アンカー タグ)等 の セキュリティ センシティブ な 属性 に i18n-<attribute> を 付与 して 国際化 を 有効 に する と、Angular の 組み込み サニタイゼーション メカニズム が バイパス されます。信頼 できない ユーザー 生成 データ と データ バインディング を 組み合わせた 場合 に、攻撃者 が 任意 の スクリプト を 実行 できます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS | CVSS:4.0 High |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | 低 |
| ユーザー関与 | 受動的 |
| CWE | XSS |
影響を受けるソフトウェア
| 製品 | 修正バージョン |
|---|---|
| @angular/core | 19.2.20 / 20.3.18 / 21.2.4 / 22.0.0-next.3 |
| @angular/compiler | 19.2.20 / 20.3.18 / 21.2.4 / 22.0.0-next.3 |
修正バージョンと回避策
- 修正バージョン: 利用中 の メジャー バージョン に 対応 する パッチ を 適用
- 回避策: セキュリティ センシティブ な 属性 に
i18n-プレフィックス を 使用 しない
関連リンク
データソース: OSV (Google), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。