つみかさね

CVE-2026-52725

Medium(4.3)

CVE-2026-52725 — Angular: 動的コンポーネントのネームスペースバイパスによる XSS

公開日: 2026-06-19データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
@angular/coreGoogle / Angular< 21.2.15 / < 22.0.0-rc.2 / < 19.2.23 / < 20.3.22

対応ガイド

medium|任意セキュリティ修正影響: 限定的

推奨アクション

  1. 1@angular/core のバージョンを確認する
  2. 2修正バージョン以上にアップデートする
  3. 3createComponent() に渡すホスト要素が外部入力由来の場合は要素の種別チェックを追加する

影響対象

Angular アプリケーション利用者

補足

  • -createComponent() を使用していない場合は影響を受けません

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

A
Angular のリリース情報 →
CVEAngularXSSnpm動的コンポーネント

概要

Angular の @angular/core において、動的コンポーネントのインスタンス化メカニズム(createComponent)が、<script> 要素や名前空間付きの script 要素(<svg:script> など)に対してコンポーネントをマウントすることを拒否しなかった脆弱性です(GHSA-692r-grfm-v8x7)。これにより、スクリプトを実行するタグにカスタムコンポーネントを初期化することで、スクリプト実行制限を迂回できる可能性があります。

CVSS v4.0 ベクトル: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N

影響を受けるソフトウェア

製品影響バージョン修正バージョン
@angular/core (npm)21.2.15 未満21.2.15
@angular/core (npm)22.0.0-rc.2 未満22.0.0-rc.2
@angular/core (npm)19.2.23 未満19.2.23
@angular/core (npm)20.3.22 未満20.3.22

修正バージョンと対応策

  • @angular/core を修正バージョン以上にアップデートする
  • createComponent() に渡すホスト要素が外部入力由来の場合は、許可する要素を制限するバリデーションを追加してください

関連リンク

データソース: GitHub Advisory Database, NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-54267Angular Client Hydration DOM ClobberingCVSS 7.1CVE-2026-50557Angular テンプレートネームスペースサニタイゼーションバイパス XSSCVSS 4.3

参考リンク

GHSA:https://github.com/angular/angular/security/advisories/GHSA-692r-grfm-v8x7
NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-52725
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。