Angular’ın Şablon Derleyicisinde hem @angular/compiler hem de @angular/core paketlerinin birden çok sürümünü etkileyen kritik bir Siteler Arası Komut Dosyası Çalıştırma (XSS) güvenlik açığı keşfedildi.
CVE-2026-22610 olarak izlenen bu güvenlik açığı, saldırganların Angular’ın yerleşik güvenlik korumalarını atlamalarına ve kurban tarayıcılarında rastgele JavaScript kodu yürütmelerine olanak tanıyor.
Güvenlik Açığı
Kusur, SVG’nin href ve xlink:href niteliklerini doğru şekilde tanıyamayan Angular’ın dahili temizleme şemasında mevcuttur.
Bu gözetim, saldırganların şablon bağlamaları yoluyla kötü amaçlı yükleri enjekte etmesine ve böylece kullanıcıların oturumlarında yetkisiz kod çalıştırmasına olanak tanır.
| Alan | Detaylar |
|---|---|
| CVE Kimliği | CVE-2026-22610 |
| Güvenlik Açığı Türü | Siteler Arası Komut Dosyası Çalıştırma (XSS) |
| CWE | CWE-79: Web Sayfası Oluşturma Sırasında Girişin Uygun Olmayan Nötrleştirilmesi |
| CVSS v4 Puanı | 7,6 (Yüksek) |
| CVSS vektör | CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N |
Geliştiriciler Angular’ın özellik bağlama sözdizimini kullandığında (örneğin [attr.href]=”userInput”), derleyici bu SVG komut dosyası niteliklerini, tehlikeli kaynak bağlantıları yerine standart dizeler olarak ele alır.
Bu yanlış sınıflandırma, metin/javascript URI’leri veya harici kötü amaçlı komut dosyalarına bağlantılar dahil olmak üzere kötü amaçlı verilerin güvenlik kontrollerini atlamasına izin verir. Bu güvenlik açığından başarıyla yararlanılması ciddi sonuçlara yol açabilir.
Saldırganlar, kullanıcı hesaplarını ele geçirmek için oturum çerezlerini, localStorage verilerini veya kimlik doğrulama belirteçlerini çalabilir.
Ayrıca uygulamalarda görüntülenen hassas bilgileri sızdırabilir veya kimliği doğrulanmış kullanıcılar adına yetkisiz eylemler gerçekleştirebilirler.
Güvenlik açığının CVSS v4 temel puanı 7,6’dır (Yüksek önem derecesi). Kullanımı düşük saldırı karmaşıklığı ve nispeten düşük ayrıcalık düzeyleri gerektirir.
Etkilenen Sürümler ve Sabit Sürümler
| Açısal Paket | Etkilenen Sürümler | Sabit / Güvenli Sürümler |
|---|---|---|
| @angular/derleyici, @angular/çekirdek | ≥ 21.1.0-next.0 ve < 21.1.0-rc.0 | 21.1.0-rc.0 veya üzeri |
| @angular/derleyici, @angular/çekirdek | ≥ 21.0.0-sonraki.0 ve < 21.0.7 | 21.0.7 veya üzeri |
| @angular/derleyici, @angular/çekirdek | ≥ 20.0.0-sonraki.0 ve < 20.3.16 | 20.3.16 veya üzeri |
| @angular/derleyici, @angular/çekirdek | ≥ 19.0.0-sonraki.0 ve < 19.2.18 | 19.2.18 veya üzeri |
| @angular/derleyici, @angular/çekirdek | ≤ 18.2.14 | Yama mevcut değil — yükseltme gerekli |
Yararlanma belirli koşullar gerektirir: hedef uygulamanın SVG kullanması gerekir
GitHub tavsiyesine göre geliştiricilerin Angular’ı derhal yamalı sürümlere güncellemesi gerekiyor.
Yamalar uygulanana kadar, SVG komut dosyası öğeleriyle dinamik bağlamalar kullanmaktan kaçının ve şablonlara ulaşmadan önce tüm dinamik URL değerleri için sunucu tarafı giriş doğrulamasını sıkı bir şekilde uygulayın.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
