Alan-Agius4

Nome do Software Vulnerável e Versões Afetadas: Versões do Angular 18.2.14 até 18.2.21 Versões do Angular 19.2.15 até 19.2.16 Versões do Angular 20.3.0 Versões do Angular 21.0.0-next.3 Descrição: O Angular utiliza um contêiner de DI (Injeção de Dependência) para manter o estado específico da requisição durante a renderização no lado do servidor. Por razões históricas, este contêiner era armazenado como uma variável global de escopo de módulo JavaScript. Requisições simultâneas poderiam inadvertidamente compartilhar ou sobrescrever o estado do injetor global, potencialmente levando a uma requisição respondendo com dados destinados a outra, resultando em vazamentos de dados ou tokens. As APIs `bootstrapApplication`, `getPlatform` e `destroyPlatform` estavam vulneráveis. Recomendações: Versões do Angular 18.2.14 até 18.2.21: Atualize para a versão 18.2.21. Versões do Angular 19.2.15 até 19.2.16: Atualize para a versão 19.2.16. Versões do Angular 20.3.0: Atualize para a versão 20.3.0. Versões do Angular 21.0.0-next.3: Não há recomendação específica disponível. Como solução alternativa, desative o SSR via Rotas do Servidor ou opções do builder. Como solução alternativa, remova qualquer comportamento assíncrono das funções `bootstrap` personalizadas. Como solução alternativa, remova usos de `getPlatform()` no código da aplicação. Como solução alternativa, garanta que a build do servidor defina `ngJitMode` como false.