製品・ソフトウェアに関する情報
脆弱性検索
AngularのAngularJSにおけるクロスサイトスクリプティングの脆弱性
タイトル AngularのAngularJSにおけるクロスサイトスクリプティングの脆弱性
概要

Angularは、TypeScript/JavaScriptやその他の言語を使用してモバイルおよびデスクトップのウェブアプリケーションを構築するための開発プラットフォームです。22.0.0-rc.2、21.2.16、20.3.24、および19.2.25以前のバージョンでは、@angular/platform-serverのDOMエミュレーションの依存関係であるdominoにおいて、noscript要素の内容をシリアライズする際にクロスサイトスクリプティング(XSS)脆弱性が存在します。テンプレートバインディング(例: {{value}}や[textContent])を介してnoscript要素内に動的テキストコンテンツをレンダリングする場合、テンプレートエンジンはブラウザが安全にコンテンツをレンダリングすると想定します。サーバーサイドレンダリング(SSR)の下では、dominoはスクリプティングが有効になった状態で構成されており、noscriptは生テキスト要素として扱われます。しかし、dominoのシリアライザはDOMシリアル化中に閉じタグのエスケープを必要とする生テキスト要素のリストからnoscriptを完全に除外していました。そのため、動的テキスト内に存在する/noscriptはどのような状況下でもエスケープされず、非エスケープの閉じタグが直接出力HTMLにシリアライズされていました(例: noscript/noscriptscriptalert(1)/script/noscript)。ブラウザで解析されると、noscriptブロックが早期に閉じられ、注入されたscriptブロックがユーザーのブラウザコンテキストで実行され、同一オリジンのクロスサイトスクリプティング(XSS)を引き起こします。この脆弱性は22.0.0-rc.2、21.2.16、20.3.24、および19.2.25で修正されました。

想定される影響 ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 
対策

ベンダ情報を参照して適切な対策を実施してください。

公表日 2026年6月22日0:00
登録日 2026年6月29日11:24
最終更新日 2026年6月29日11:24
CVSS3.0 : 警告
スコア 6.1
ベクター CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
影響を受けるシステム
Angular
AngularJS 18.2.14 およびそれ以前
AngularJS 19.0.0 以上 19.2.25 未満
AngularJS 20.0.0 以上 20.3.24 未満
AngularJS 21.0.0 以上 21.2.16 未満
AngularJS 22.0.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2026年06月29日]
  掲載		 2026年6月29日11:24
NVD脆弱性情報
CVE-2026-50556
概要

Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.0-rc.2, 21.2.16, 20.3.24, and 19.2.25, a Cross-Site Scripting (XSS) vulnerability exists in @angular/platform-server's DOM emulation dependency (domino) when serializing the content of <noscript> elements. When rendering dynamic text content inside a <noscript> element via template bindings (such as {{ value }} or [textContent]), the template engine expects the browser to render the content safely. Under Server-Side Rendering (SSR), domino is configured with scripting enabled, meaning <noscript> is treated as a raw-text element. However, domino's serializer completely omitted <noscript> from the list of raw-text elements requiring closing-tag escaping during DOM serialization. As a result, any occurrence of </noscript> in the bound dynamic text was never escaped under any circumstances. The unescaped closing tag was serialized directly into the output HTML (e.g. <noscript></noscript><script>alert(1)</script></noscript>). When parsed by a browser, it closes the <noscript> block early, allowing the injected <script> block to execute in the user's browser context, causing same-origin Cross-Site Scripting (XSS). This vulnerability is fixed in 22.0.0-rc.2, 21.2.16, 20.3.24, and 19.2.25.

公表日 2026年6月23日3:16
登録日 2026年6月27日4:10
最終更新日 2026年6月27日4:33
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* 18.2.14
cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* 19.0.0 19.2.25
cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* 20.0.0 20.3.24
cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* 21.0.0 21.2.16
cpe:2.3:a:angularjs:angularjs:22.0.0:next0:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next1:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next10:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next11:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next12:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next2:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next3:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next4:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next5:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next6:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next7:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next8:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:next9:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:rc0:*:*:*:*:*:*
cpe:2.3:a:angularjs:angularjs:22.0.0:rc1:*:*:*:*:*:*
関連情報、対策とツール
共通脆弱性一覧