CVE-2026-32635

Nome do Software Vulnerável e Versões Afetadas Angular versões anteriores a 22.0.0-next.3 Angular versões anteriores a 21.2.4 Angular versões anteriores a 20.3.18 Angular versões anteriores a 19.2.20

Description Um problema de Cross-Site Scripting (XSS) existe no runtime e no compilador do Angular. Isso ocorre quando uma aplicação utiliza um atributo sensível à segurança combinado com a capacidade de internacionalização de atributos do Angular. Ao adicionar o nome i18n-<attribute> a um atributo sensível, o mecanismo de sanitização integrado do framework é ignorado. Quando isso é combinado com a vinculação de dados a informações não confiáveis geradas pelo usuário, um invasor pode injetar e executar scripts maliciosos no navegador do usuário, potencialmente levando ao sequestro de sessão, roubo de credenciais e exfiltração de dados. Os atributos vulneráveis incluem action, background, cite, codebase, data, formaction, href, itemtype, longdesc, poster, src e xlink:href.

Recommendations Atualizar para a versão 22.0.0-next.3. Atualizar para a versão 21.2.4. Atualizar para a versão 20.3.18. Atualizar para a versão 19.2.20. Como alternativa temporária, garanta que quaisquer dados vinculados a atributos sensíveis não sejam originados de entradas de usuários não confiáveis ou não sejam marcados para internacionalização. Alternativamente, sanitize explicitamente os atributos passando-os pela função DomSanitizer.