製品・ソフトウェアに関する情報

JVN脆弱性詳細

angularのAngular CLIにおける複数の脆弱性

Title	angularのAngular CLIにおける複数の脆弱性
Summary	Angular SSRはAngularアプリケーション向けのサーバーサイドレンダリングツールです。バージョン19.0.0-next.0から19.2.25、20.3.25、21.2.9、22.0.0-next.7の前までに、Angular SSRのX-Forwarded-Prefixヘッダー処理ロジックに脆弱性が存在します。内部の検証メカニズムはURLエンコードされた文字、特にドット（%2e%2e）を適切に考慮していません。これにより攻撃者は、後にデコードされアプリケーションロジックで使用されるエンコード済みのパス・トラバーサルシーケンスを注入し、セキュリティフィルターを回避できます。Angular SSRアプリケーションがプロキシヘッダーの信頼を設定し、X-Forwarded-Prefixヘッダーを事前に消毒せず転送するプロキシの背後にデプロイされている場合、攻撃者は/%2e%2e/evilのようなペイロードを提供可能です。この脆弱性はバージョン19.2.25、20.3.25、21.2.9、22.0.0-next.7で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 13, 2026, midnight
Registration Date	June 3, 2026, 3:35 p.m.
Last Update	June 3, 2026, 3:35 p.m.

CVSS3.0 : 警告
Score	6.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Affected System

angular

Angular CLI 19.0.0 以上 19.2.25 未満

Angular CLI 20.0.0 以上 20.3.25 未満

Angular CLI 21.0.0 以上 21.2.9 未満

Angular CLI 22.0.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44437	https://www.cve.org/CVERecord?id=CVE-2026-44437
National Vulnerability Database (NVD)
2	CVE-2026-44437	https://nvd.nist.gov/vuln/detail/CVE-2026-44437

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html
2	CWE-601	https://cwe.mitre.org/data/definitions/601.html

ベンダー情報

No	Name	URL
GitHub
1	Open Redirect and Request Steering via Encoded X-Forwarded-Prefix in Angular SSR Advisory angular/angular-cli GitHub	https://github.com/angular/angular-cli/security/advisories/GHSA-69xr-m8h6-h664

その他

No	Name	URL
関連文書
1	fix(@angular/ssr): introduce trustProxyHeaders option to safely validate and sanitize proxy headers by alan-agius4 Pull Request #33031 angular/angular-cli GitHub	https://github.com/angular/angular-cli/pull/33031

Change Log

No	Changed Details	Date of change
1	[2026年06月03日] 掲載	June 3, 2026, 3:35 p.m.

NVD Vulnerability Information

CVE-2026-44437

Summary	The Angular SSR is a server-rise rendering tool for Angular applications. From 19.0.0-next.0 to before 19.2.25, 20.3.25, 21.2.9, and 22.0.0-next.7, a vulnerability exists in the X-Forwarded-Prefix header processing logic within Angular SSR. The internal validation mechanism fails to properly account for URL-encoded characters, specifically dots (%2e%2e). This allows an attacker to bypass security filters by injecting encoded path traversal sequences that are later decoded and utilized by the application logic. When an Angular SSR application is configured to trust proxy headers and is deployed behind a proxy that forwards the X-Forwarded-Prefix header without prior sanitization, an attacker can provide a payload such as /%2e%2e/evil. This vulnerability is fixed in19.2.25, 20.3.25, 21.2.9, and 22.0.0-next.7.
Publication Date	May 14, 2026, 7:16 a.m.
Registration Date	May 15, 2026, 4:23 a.m.
Last Update	May 15, 2026, 3:17 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/angular/angular-cli/pull/33031	security-advisories@github.com
2	https://github.com/angular/angular-cli/security/advisories/GHSA-69xr-m8h6-h664	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html
2	CWE-601	オープンリダイレクト	https://cwe.mitre.org/data/definitions/601.html