| Title | AngularのAngularJSにおけるクロスサイトスクリプティングの脆弱性 |
|---|---|
| Summary | Angularは、TypeScript/JavaScriptやその他の言語を使用してモバイルおよびデスクトップのウェブアプリケーションを構築するための開発プラットフォームです。22.0.0-rc.2、21.2.16、20.3.24、および19.2.25以前のバージョンでは、@angular/platform-serverのDOMエミュレーションの依存関係であるdominoにおいて、noscript要素の内容をシリアライズする際にクロスサイトスクリプティング(XSS)脆弱性が存在します。テンプレートバインディング(例: {{value}}や[textContent])を介してnoscript要素内に動的テキストコンテンツをレンダリングする場合、テンプレートエンジンはブラウザが安全にコンテンツをレンダリングすると想定します。サーバーサイドレンダリング(SSR)の下では、dominoはスクリプティングが有効になった状態で構成されており、noscriptは生テキスト要素として扱われます。しかし、dominoのシリアライザはDOMシリアル化中に閉じタグのエスケープを必要とする生テキスト要素のリストからnoscriptを完全に除外していました。そのため、動的テキスト内に存在する/noscriptはどのような状況下でもエスケープされず、非エスケープの閉じタグが直接出力HTMLにシリアライズされていました(例: noscript/noscriptscriptalert(1)/script/noscript)。ブラウザで解析されると、noscriptブロックが早期に閉じられ、注入されたscriptブロックがユーザーのブラウザコンテキストで実行され、同一オリジンのクロスサイトスクリプティング(XSS)を引き起こします。この脆弱性は22.0.0-rc.2、21.2.16、20.3.24、および19.2.25で修正されました。 |
| Possible impacts | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 22, 2026, midnight |
| Registration Date | June 29, 2026, 11:24 a.m. |
| Last Update | June 29, 2026, 11:24 a.m. |
| CVSS3.0 : 警告 | |
| Score | 6.1 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| Angular |
| AngularJS 18.2.14 およびそれ以前 |
| AngularJS 19.0.0 以上 19.2.25 未満 |
| AngularJS 20.0.0 以上 20.3.24 未満 |
| AngularJS 21.0.0 以上 21.2.16 未満 |
| AngularJS 22.0.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
June 29, 2026, 11:24 a.m. |
| Summary | Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.0-rc.2, 21.2.16, 20.3.24, and 19.2.25, a Cross-Site Scripting (XSS) vulnerability exists in @angular/platform-server's DOM emulation dependency (domino) when serializing the content of <noscript> elements. When rendering dynamic text content inside a <noscript> element via template bindings (such as {{ value }} or [textContent]), the template engine expects the browser to render the content safely. Under Server-Side Rendering (SSR), domino is configured with scripting enabled, meaning <noscript> is treated as a raw-text element. However, domino's serializer completely omitted <noscript> from the list of raw-text elements requiring closing-tag escaping during DOM serialization. As a result, any occurrence of </noscript> in the bound dynamic text was never escaped under any circumstances. The unescaped closing tag was serialized directly into the output HTML (e.g. <noscript></noscript><script>alert(1)</script></noscript>). When parsed by a browser, it closes the <noscript> block early, allowing the injected <script> block to execute in the user's browser context, causing same-origin Cross-Site Scripting (XSS). This vulnerability is fixed in 22.0.0-rc.2, 21.2.16, 20.3.24, and 19.2.25. |
|---|---|
| Publication Date | June 23, 2026, 3:16 a.m. |
| Registration Date | June 27, 2026, 4:10 a.m. |
| Last Update | June 27, 2026, 4:33 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* | 18.2.14 | ||||
| cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* | 19.0.0 | 19.2.25 | |||
| cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* | 20.0.0 | 20.3.24 | |||
| cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* | 21.0.0 | 21.2.16 | |||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next0:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next1:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next10:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next11:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next12:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next2:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next3:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next4:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next5:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next6:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next7:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next8:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next9:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:rc0:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:rc1:*:*:*:*:*:* | |||||