概要
Angular のランタイム(@angular/core)およびコンパイラ(@angular/compiler)にクロスサイトスクリプティング(XSS)の脆弱性が確認されました。アンカータグの href のようなセキュリティ上重要な属性に対して、Angularの国際化(i18n)機能を併用した場合に発生します。
通常、Angularはテンプレート内の属性バインディングに対してサニタイズを自動的に適用しますが、i18n-<attribute> ディレクティブを付与して属性の国際化を有効にすると、この保護機構がバイパスされます。信頼できないユーザー入力をデータバインディングしている場合、攻撃者が任意のスクリプトを注入できる可能性があります。CVSS 9.0(Critical)で、影響範囲の変更(S:C)が認められる深刻な脆弱性です。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 9.0(Critical) |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H |
| CWE | CWE-79(クロスサイトスクリプティング) |
| 攻撃元区分(AV) | ネットワーク |
| 攻撃条件の複雑さ(AC) | 低 |
| 必要な特権レベル(PR) | 低 |
| ユーザー関与(UI) | 要 |
| スコープ(S) | 変更あり |
| 機密性への影響(C) | 高 |
| 完全性への影響(I) | 高 |
| 可用性への影響(A) | 高 |
影響を受けるソフトウェア
| パッケージ | ベンダー | 影響バージョン |
|---|---|---|
| @angular/core | 19.2.20 未満、20.3.18 未満、21.2.4 未満、22.0.0-next.3 未満 | |
| @angular/compiler | 19.2.20 未満、20.3.18 未満、21.2.4 未満、22.0.0-next.3 未満 |
- バージョン 18.x 以前も影響を受けますが、修正パッチは提供されていません
修正バージョンと回避策
- v19系: @angular/core および @angular/compiler v19.2.20 へアップデート
- v20系: v20.3.18 へアップデート
- v21系: v21.2.4 へアップデート
- v22系: v22.0.0-next.3 へアップデート
- v18.x 以前を使用している場合は、サポート対象バージョンへの移行を検討してください
- アップデートが困難な場合は、
i18n-href等セキュリティ上重要な属性に対するi18n-<attribute>ディレクティブの使用を避け、通常のプロパティバインディング([href])を使用してください
関連リンク
データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。