つみかさね

CVE-2026-41423

High(8.6)

CVE-2026-41423 — Angular Platform-Server SSRF脆弱性

公開日: 2026-05-13データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
@angular/platform-serverGoogle19.2.21 未満
@angular/platform-serverGoogle20.0.0 〜 20.3.19 未満
@angular/platform-serverGoogle21.0.0 〜 21.2.9 未満
@angular/platform-serverGoogle22.0.0-next.8 未満

対応ガイド

high|推奨セキュリティ修正high

推奨アクション

  1. 1@angular/platform-server の使用バージョンを確認
  2. 2修正バージョンへのアップデート
  3. 3SSR環境でのURL入力バリデーションの強化

影響対象

@angular/platform-server

補足

  • -CVSS High — 早期の対応を推奨します

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

A
Angular のリリース情報 →
CVEAngularSSRF

概要

Angular Platform-Server において、プロトコル相対URL(//example.com)やバックスラッシュURL(\example.com)を使用したサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見されました。

サーバーサイドレンダリング(SSR)環境で、攻撃者が細工したURLを入力することで、内部ネットワークへの不正なリクエストを発生させる可能性があります。これにより、内部サービスへのアクセスや情報漏洩のリスクがあります。

CVSSベクトル

項目
CVSSスコア8.6(High)
CWECWE-918(サーバーサイドリクエストフォージェリ)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
@angular/platform-serverGoogle19.2.21 未満
@angular/platform-serverGoogle20.0.0 〜 20.3.19 未満
@angular/platform-serverGoogle21.0.0 〜 21.2.9 未満
@angular/platform-serverGoogle22.0.0-next.8 未満(next系)

修正バージョンと回避策

  • 修正バージョン: 19.2.21、20.3.19、21.2.9、22.0.0-next.8 以降へアップデート
  • 暫定回避策: SSR環境で外部からのURL入力を厳密にバリデーションし、プロトコル相対URLやバックスラッシュURLを拒否する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-41423
GHSA:https://github.com/advisories/GHSA-45q2-gjvg-7973
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。