CVE-2026-41423 in Angularالمعلومات

الملخص

بحسب VulDB • 31/05/2026

Angular هي منصة تطوير لبناء تطبيقات الويب المتنقلة وسطح المكتب باستخدام TypeScript/JavaScript ولغات أخرى. قبل الإصدارات 19.2.21، و20.3.19، و21.2.9، و22.0.0-next.8، يوجد ثغرة تزوير الطلبات من جانب الخادم (SSRF) في @angular/platform-server بسبب المعالجة غير السليمة لعناوين URL أثناء التقديم من جانب الخادم (SSR). عندما يرسل المهاجم طلبًا مثل GET /\evil.com/ HTTP/1.1، يقوم محرك الخادم (مثل Express) بتمرير سلسلة عنوان URL إلى دوال العرض الخاصة بـ Angular. نظرًا لأن محلل عناوين URL يقوم بتوحيد شريط المائل الخلفي إلى شريط مائل أمامي لمخططات HTTP/HTTPS، يتم اختراق الحالة الداخلية للتطبيق لاعتقاد أن الأصل الحالي هو evil.com. يؤدي هذا سوء التفسير إلى خداع التطبيق لمعاملة نطاق المهاجم كأصل محلي. ونتيجة لذلك، يتم إعادة توجيه أي طلبات HttpClient النسبية أو مراجعات PlatformLocation.hostname إلى الخادم الذي يتحكم فيه المهاجم، مما قد يعرض واجهات برمجة التطبيقات الداخلية أو خدمات البيانات الوصفية للخطر. تم إصلاح هذه المشكلة في الإصدارات 19.2.21، و20.3.19، و21.2.9، و22.0.0-next.8.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

20/04/2026

إفشاء

08/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362096

EPSS

0.00038

KEV

لا

النشاطات

منخفض جدًا

القطاع

Insurance, Hostingprovider, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41423
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41423
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41423/

التالي نظرة عامة السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!