CVE-2026-41423

Nome do Software Vulnerável e Versões Afetadas Angular versões anteriores a 19.2.21 Angular versões anteriores a 20.3.19 Angular versões anteriores a 21.2.9 Angular versões anteriores a 22.0.0-next.8

Description Um problema de Server-Side Request Forgery (SSRF) existe no @angular/platform-server devido ao manuseio inadequado de URLs durante a Renderização do Lado do Servidor (SSR). Quando uma requisição contendo uma barra invertida (ex: GET /evil.com/) é processada, o analisador de URL normaliza a barra invertida para uma barra normal para esquemas HTTP/HTTPS. Isso faz com que a aplicação interprete erroneamente o domínio do invasor como a origem local. Consequentemente, requisições relativas do HttpClient ou referências ao PlatformLocation.hostname são redirecionadas para o servidor controlado pelo invasor, podendo expor APIs internas ou serviços de metadados. Isso afeta as funções renderModule(), renderApplication() e CommonEngine.

Recommendations Atualize para a versão 19.2.21. Atualize para a versão 20.3.19. Atualize para a versão 21.2.9. Atualize para a versão 22.0.0-next.8. Implemente um middleware para sanitizar a URL da requisição, removendo ou normalizando as barras iniciais para garantir que a URL comece com uma única barra normal antes de chegar ao Angular.