CVE-2025-59052

Nome do Software Vulnerável e Versões Afetadas: Versões do Angular 18.2.14 até 18.2.21 Versões do Angular 19.2.15 até 19.2.16 Versões do Angular 20.3.0 Versões do Angular 21.0.0-next.3

Descrição: O Angular utiliza um contêiner de DI (Injeção de Dependência) para manter o estado específico da requisição durante a renderização no lado do servidor. Por razões históricas, este contêiner era armazenado como uma variável global de escopo de módulo JavaScript. Requisições simultâneas poderiam inadvertidamente compartilhar ou sobrescrever o estado do injetor global, potencialmente levando a uma requisição respondendo com dados destinados a outra, resultando em vazamentos de dados ou tokens. As APIs bootstrapApplication, getPlatform e destroyPlatform estavam vulneráveis.

Recomendações: Versões do Angular 18.2.14 até 18.2.21: Atualize para a versão 18.2.21. Versões do Angular 19.2.15 até 19.2.16: Atualize para a versão 19.2.16. Versões do Angular 20.3.0: Atualize para a versão 20.3.0. Versões do Angular 21.0.0-next.3: Não há recomendação específica disponível. Como solução alternativa, desative o SSR via Rotas do Servidor ou opções do builder. Como solução alternativa, remova qualquer comportamento assíncrono das funções bootstrap personalizadas. Como solução alternativa, remova usos de getPlatform() no código da aplicação. Como solução alternativa, garanta que a build do servidor defina ngJitMode como false.