つみかさね

CVE-2026-32635

Critical(9)

CVE-2026-32635 — Angular XSS(i18n属性サニタイズバイパス)

公開日: 2026-05-01データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
AngularGoogle22.0.0-next.3 未満 (v22系)
AngularGoogle21.2.4 未満 (v21系)
AngularGoogle20.3.18 未満 (v20系)
AngularGoogle19.2.20 未満 (v19系)

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Angularバージョンを確認
  2. 2i18n属性をセキュリティ属性と併用しているか確認
  3. 3修正バージョンへアップデート

影響対象

Angular利用者(i18n属性使用時)

補足

  • -CVSS 9.0 Critical — i18n属性使用時は特に注意が必要です

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

A
Angular のリリース情報 →
CVEAngularXSSi18n

概要

Angular のランタイムおよびコンパイラに、i18n 属性経由のクロスサイトスクリプティング (XSS) 脆弱性が発見されました。href などのセキュリティ上重要な属性に i18n-<attribute> が組み合わされると、Angular 組み込みのサニタイズ処理がバイパスされます。

信頼できないユーザーデータへのデータバインディングと組み合わさった場合、スクリプトインジェクションが可能となります。22.0.0-next.3、21.2.4、20.3.18、19.2.20 で修正されています。

CVSSベクトル

項目
CVSSスコア9.0
深刻度Critical
攻撃経路 (AV)ネットワーク (Network)
攻撃複雑度 (AC)低 (Low)
必要権限 (PR)不要 (None)
ユーザー操作 (UI)必要 (Required)
CWECWE-79 (クロスサイトスクリプティング)

影響を受けるソフトウェア

製品ベンダー影響バージョン
AngularGoogle22.0.0-next.3 未満 (v22系)
AngularGoogle21.2.4 未満 (v21系)
AngularGoogle20.3.18 未満 (v20系)
AngularGoogle19.2.20 未満 (v19系)

修正バージョンと回避策

  • 修正バージョン: Angular 22.0.0-next.3、21.2.4、20.3.18、または 19.2.20 以降へアップデート
  • 確認事項: i18n 属性をセキュリティ上重要な属性(href 等)と併用しているテンプレートがあるか確認

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-32635
GitHub Advisory:https://github.com/angular/angular/security/advisories/GHSA-g93w-mfhg-p222
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。