CVE-2026-22610 - Angular存在通过未经净化的SVG脚本属性导致的XSS漏洞
概述
Angular是一个使用TypeScript/JavaScript和其他语言构建移动和桌面Web应用程序的开发平台。
描述
在19.2.18、20.3.16、21.0.7和21.1.0-rc.0版本之前,Angular模板编译器中已识别出一个跨站脚本(XSS)漏洞。该漏洞的存在是因为Angular的内部净化方案未能将SVG <script>元素的href和xlink:href属性识别为资源URL上下文。此问题已在版本19.2.18、20.3.16、21.0.7和21.1.0-rc.0中得到修复。
发布日期: 2026年1月10日 上午4:16 最后修改日期: 2026年1月10日 上午4:16 可远程利用: 是! 来源: security-advisories@github.com
受影响产品
以下产品受CVE-2026-22610漏洞影响。
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Angular | angular | |
| *总计受影响厂商:1 | 产品:1* |
CVSS 评分
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并显示来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.5 | CVSS 4.0 | 高 | security-advisories@github.com |
解决方案
更新Angular到已修复的版本以解决此XSS漏洞。
- 更新Angular到版本19.2.18或更高版本。
- 更新Angular到版本20.3.16或更高版本。
- 更新Angular到版本21.0.7或更高版本。
- 更新Angular到版本21.1.0-rc.0或更高版本。
公告、解决方案和工具参考
在这里,您将找到与CVE-2026-22610相关的、提供深入信息、实用解决方案和有价值工具的外部链接精选列表。
CWE - 通用缺陷枚举
CVE标识漏洞的具体实例,而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2026-22610与以下CWE相关联:
- CWE-79: 网页生成期间输入中和不当(‘跨站脚本’)
常见攻击模式枚举与分类 (CAPEC)
常见攻击模式枚举与分类 (CAPEC) 存储攻击模式,这些模式描述了对手利用CVE-2026-22610弱点所采用的常见属性和方法。
- CAPEC-63: 跨站脚本 (XSS)
- CAPEC-85: AJAX 足迹探测
- CAPEC-209: 利用MIME类型不匹配进行XSS
- CAPEC-588: 基于DOM的XSS
- CAPEC-591: 反射型XSS
- CAPEC-592: 存储型XSS
漏洞时间线详情
漏洞历史记录详情有助于理解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
新CVE接收 由 security-advisories@github.com 接收 2026年1月10日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Angular是一个使用TypeScript/JavaScript和其他语言构建移动和桌面Web应用程序的开发平台。在19.2.18、20.3.16、21.0.7和21.1.0-rc.0版本之前,Angular模板编译器中已识别出一个跨站脚本(XSS)漏洞。该漏洞的存在是因为Angular的内部净化方案未能将SVG comments powered by Disqus |