| タイトル | AngularのAngularJSにおける複数の脆弱性 |
|---|---|
| 概要 | AngularはTypeScript/JavaScriptおよびその他の言語を使用してモバイルおよびデスクトップのウェブアプリケーションを構築するための開発プラットフォームです。22.0.1、21.2.17、および20.3.25より前のバージョンでは、Angularフレームワークの@angular/service-workerパッケージに情報漏洩の脆弱性が存在します。Service Workerはアセットを取得する際に元のリクエストからのメタデータ(ヘッダーなど)を保持します。しかし、クロスオリジンリダイレクト時にService Workerは機密性の高いヘッダーを削除できず、Fetchリダイレクトアルゴリズムに違反します。これによりリモートの攻撃者がクロスオリジンリダイレクトをトリガーして信頼されていない外部オリジンに誘導し、機密認証情報(例:認証トークン、プロキシ認証情報、セッションクッキー)を取得できる可能性があります。この脆弱性は22.0.1、21.2.17、および20.3.25で修正されています。 |
| 想定される影響 | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月22日0:00 |
| 登録日 | 2026年6月29日11:23 |
| 最終更新日 | 2026年6月29日11:23 |
| CVSS3.0 : 警告 | |
| スコア | 6.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N |
| Angular |
| AngularJS 19.2.25 およびそれ以前 |
| AngularJS 20.0.0 以上 20.3.25 未満 |
| AngularJS 21.0.0 以上 21.2.17 未満 |
| AngularJS 22.0.0 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
2026年6月29日11:23 |
| 概要 | Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.1, 21.2.17, and 20.3.25, an information disclosure vulnerability exists in the @angular/service-worker package of the Angular framework. When the Service Worker fetches assets, it preserves metadata (such as headers) from the original request. However, on cross-origin redirects, the Service Worker fails to strip sensitive headers, violating the Fetch redirect algorithm. This allows a remote attacker to obtain sensitive credentials (e.g., Authorization tokens, Proxy-Authorization credentials, or session cookies) by triggering a cross-origin redirect to an untrusted external origin. This vulnerability is fixed in 22.0.1, 21.2.17, and 20.3.25. |
|---|---|
| 公表日 | 2026年6月23日1:16 |
| 登録日 | 2026年6月27日4:10 |
| 最終更新日 | 2026年6月27日4:30 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* | 19.2.25 | ||||
| cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* | 20.0.0 | 20.3.25 | |||
| cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* | 21.0.0 | 21.2.17 | |||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next0:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next1:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next10:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next11:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next12:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next2:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next3:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next4:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next5:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next6:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next7:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next8:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:next9:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:rc0:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:rc1:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:rc2:*:*:*:*:*:* | |||||
| cpe:2.3:a:angularjs:angularjs:22.0.0:rc3:*:*:*:*:*:* | |||||