Venkatkwest

**Nome do Software Vulnerável e Versões Afetadas** Versões do Angular SSR 19.x até 19.2.20 Versões do Angular SSR 20.x até 20.3.16 Versões do Angular SSR 21.x até 21.1.4 Versão 21.2.0-rc.0 do Angular SSR **Descrição** Existe um problema de Redirecionamento Aberto na lógica interna de processamento de URL do Angular SSR. A aplicação normaliza segmentos de URL removendo barras inclinadas iniciais, mas apenas uma única barra é removida. Se uma aplicação Angular SSR for implantada atrás de um proxy que repassa o cabeçalho `X-Forwarded-Prefix` sem sanitização, um atacante pode fornecer um valor começando com três barras (por exemplo, `///evil.com`). Isso pode levar a um redirecionamento para um domínio malicioso, potencialmente permitindo phishing em larga escala e sequestro de SEO. A vulnerabilidade requer que a aplicação use Angular SSR, tenha rotas que realizem redirecionamentos internos e que a infraestrutura repasse o cabeçalho `X-Forwarded-Prefix` ao processo SSR sem sanitização. O cache também não deve variar com base no cabeçalho `X-Forwarded-Prefix`. O problema ocorre porque navegadores modernos interpretam `//` como uma URL relativa ao protocolo, redirecionando o usuário do site legítimo para o domínio controlado pelo atacante. **Recomendações** As versões do Angular SSR anteriores a 19.2.21 devem ser atualizadas. As versões do Angular SSR anteriores a 20.3.17 devem ser atualizadas. As versões do Angular SSR anteriores a 21.1.5 devem ser atualizadas. A versão 21.2.0-rc.0 do Angular SSR deve ser atualizada. Como solução temporária, sanitize o cabeçalho `X-Forwarded-Prefix` no arquivo `server.ts` antes que o engine do Angular processe a requisição, removendo todas as barras inclinadas iniciais. Por exemplo: ```ts app.use((req, res, next) => { const prefix = req.headers['x-forwarded-prefix']?.trim(); if (prefix) { // Sanitiza removendo todas as barras inclinadas iniciais req.headers['x-forwarded-prefix'] = prefix.replace(/^[/]+/, '/'); } next(); }); ```

**Name of the Vulnerable Software and Affected Versions** Angular versions prior to 22.0.0-next.2 Angular versions prior to 21.2.3 Angular versions prior to 20.3.21 **Description** An Open Redirect issue exists in the Angular SSR tool due to an incomplete fix for a previously identified problem. The internal validation logic does not properly handle a single backslash (``) in the `X-Forwarded-Prefix` header, allowing attackers to bypass security measures. When deployed behind a proxy that passes the `X-Forwarded-Prefix` header, an attacker can provide a value starting with a single backslash. The application then prepends a forward slash, resulting in a `Location` header that browsers interpret as a protocol-relative URL, redirecting users to an attacker-controlled domain. The absence of the `Vary: X-Forwarded-Prefix` header in the response allows malicious redirects to be cached, potentially leading to Web Cache Poisoning. This could enable attackers to conduct phishing attacks and SEO hijacking, impacting a large number of users and potentially causing search engines to index malicious redirects. The vulnerability affects applications using the `@angular/ssr` package. The `X-Forwarded-Prefix` header is used to determine the base URL for the application. **Recommendations** Versions prior to 22.0.0-next.2: Apply the patch by updating to version 22.0.0-next.2 or later. Versions prior to 21.2.3: Apply the patch by updating to version 21.2.3 or later. Versions prior to 20.3.21: Apply the patch by updating to version 20.3.21 or later. As a temporary workaround, sanitize the `X-Forwarded-Prefix` header in your `server.ts` file before the Angular engine processes the request by removing all leading forward and backward slashes.