CVE-2026-27970

Nome do Software Vulnerável e Versões Afetadas Versões do Angular anteriores a 21.2.0 Versões do Angular anteriores a 21.1.16 Versões do Angular anteriores a 20.3.17 Versões do Angular anteriores a 19.2.19

Descrição O pipeline de internacionalização (i18n) do Angular contém uma vulnerabilidade de scripting entre sites. O HTML no conteúdo traduzido, especificamente em mensagens International Components for Unicode (ICU), não foi adequadamente sanitizado, possivelmente permitindo a execução de JavaScript arbitrário. O processo de i18n do Angular envolve a extração de mensagens, tradução e mesclagem das traduções de volta ao código. Se um arquivo de tradução (xliff, xtb, etc.) for comprometido com conteúdo malicioso, pode levar à execução de JavaScript controlado pelo atacante dentro do aplicativo. A exploração bem-sucedida requer o comprometimento do arquivo de tradução do aplicativo, além de o aplicativo utilizar i18n do Angular, mensagens ICU e renderizar essas mensagens sem defesas adequadas contra scripting entre sites, como uma Content Security Policy.

Recomendações Versões do Angular anteriores a 21.2.0: atualize para a versão 21.2.0 ou posterior. Versões do Angular anteriores a 21.1.16: atualize para a versão 21.1.16 ou posterior. Versões do Angular anteriores a 20.3.17: atualize para a versão 20.3.17 ou posterior. Versões do Angular anteriores a 19.2.19: atualize para a versão 19.2.19 ou posterior. Revise e verifique o conteúdo traduzido recebido de terceiros não confiáveis antes de incorporá-lo a um aplicativo Angular. Habilite controles estritos de Content Security Policy (CSP) para evitar a execução não autorizada de JavaScript. Habilite Trusted Types para garantir a sanitização adequada de HTML.