製品・ソフトウェアに関する情報
脆弱性検索
AngularのAngularJSにおける複数の脆弱性
タイトル AngularのAngularJSにおける複数の脆弱性
概要

Angularは、TypeScript/JavaScriptおよびその他の言語を使用してモバイルおよびデスクトップのウェブアプリケーションを構築するための開発プラットフォームです。22.0.0-rc.2、21.2.15、20.3.22、および19.2.23より前のバージョンにおいて、@angular/service-workerパッケージにリクエスト再構築中のリクエストポリシー強制の整合性を損なう問題が存在します。Angular Service Workerは、一致したアセットのネットワークリクエストをインターセプトすると、内部のヘルパー関数を使用して新しいRequestオブジェクトを再構築します。この再構築プロセス中に、ヘルパー関数は明示的にクライアントが定義した安全パラメータ(credentials設定(例:credentials: 'omit')やHTTPキャッシュモード設定(例:cache: 'no-store'))を削除してしまいます。これにより、ブラウザの標準デフォルトパラメータ(credentials: 'same-origin'およびデフォルトのHTTPキャッシュプロパティ)が適用されます。このため、クライアント側の開発者が明示的に除外するよう指示したリクエストであっても、ブラウザが有効な認証情報(クッキーやAuthorizationヘッダーなど)を含めてしまい、セッション漏洩の可能性が生じます。さらに、プライベートまたはキャッシュ不可のリソースがサービスワーカーのエンジンによってキャッシュされることで、ログアウト後もクライアントのローカルキャッシュ内にプライベートなページ状態がアクセス可能または永続化されてしまいます。この脆弱性は22.0.0-rc.2、21.2.15、20.3.22、および19.2.23で修正されています。

想定される影響 ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年6月22日0:00
登録日 2026年6月29日11:24
最終更新日 2026年6月29日11:24
CVSS3.0 : 警告
スコア 6.1
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
影響を受けるシステム
Angular
AngularJS 18.2.14 およびそれ以前
AngularJS 19.0.0 以上 19.2.23 未満
AngularJS 20.0.0 以上 20.3.22 未満
AngularJS 21.0.0 以上 21.2.15 未満
AngularJS 22.0.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年06月29日]
  掲載		 2026年6月29日11:24
NVD脆弱性情報
CVE-2026-50184
概要

Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.0-rc.2, 21.2.15, 20.3.22, and 19.2.23, an issue in the @angular/service-worker package compromises the integrity of request-policy enforcement during request reconstruction. When the Angular Service Worker intercepts network requests for matched assets, it reconstructs a new Request object using an internal helper function. During this reconstruction process, the helper function strips explicit client-defined safety parameters: the credentials configuration (such as credentials: 'omit') and the HTTP cache mode configuration (such as cache: 'no-store'). These are reverted back to standard browser-default parameters (credentials: 'same-origin' and default HTTP cache properties). This causes the browser to include active credentials (such as cookies or Authorization headers) on outbound requests where the client-side developer explicitly instructed they should be omitted, leading to potential session leaks. Additionally, it causes private or non-cacheable resources to be cached by the service worker's engine, making private page states accessible or persistent inside the client's local cache post-logout. This vulnerability is fixed in 22.0.0-rc.2, 21.2.15, 20.3.22, and 19.2.23.

公表日 2026年6月23日3:16
登録日 2026年6月27日4:10
最終更新日 2026年6月27日4:31
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* 18.2.14
cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* 19.0.0 19.2.23
cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* 20.0.0 20.3.22
cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* 21.0.0 21.2.15
cpe:2.3:a:angularjs:angularjs:22.0.0:next0:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next1:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next10:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next11:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next12:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next2:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next3:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next4:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next5:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next6:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next7:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next8:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next9:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:rc0:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:rc1:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧