Vulnerabilidade da plataforma angular permite que invasores executem código por meio de animações SVG maliciosas – Against Invaders

Vulnerabilidade da plataforma angular permite que invasores executem código por meio de animações SVG maliciosas - Against Invaders

A equipe Angular lançou atualizações de alta segurança para solucionar uma vulnerabilidade de alta gravidade no Angular Template Compiler.

Rastreada comoCVE-2025-66412, essa falha permite que invasores contornem as proteções de segurança integradas e executem código malicioso dentro do navegador do usuário.

A vulnerabilidade é classificada como Stored Cross-Site Scripting (XSS) emitir. Isso decorre de um esquema de segurança incompleto no compilador Angular.

Métrica Detalhes
ID do CVE CVE-2025-66412
Gravidade Alto (CVSS 8.5)
Tipo de vulnerabilidade XSS armazenado via animação SVG

Por padrão, o Angular “limpa” automaticamente dados não confiáveis ​​para evitar que hackers injetem scripts maliciosos.

No entanto, esta falha recém-descoberta revela um ponto cego no tratamento da estrutura de animações SVG (Scalable Vector Graphics) específicas e atributos MathML.

Como funciona o ataque

O cerne do problema está nos elementos de animação SVG, comoou. Esses elementos utilizam um atributo chamadoattributeName para definir qual propriedade de uma imagem deve ser animada.

A vulnerabilidade existe porque o compilador não validou corretamente este campo de atributoNome.

Um invasor pode explorar isso vinculando oattributeName a um campo confidencial como “href” (o atributo de link padrão).

Uma vez que a animação tenha como alvo o atributo “href”, o invasor pode injetar umJavaScriptURL no valor da animação.

Como o compilador não reconhece essa combinação específica como perigosa, ele ignora a limpeza de segurança usual.

Quando um usuário interage com o elemento comprometido, como clicar nele ou até mesmo automaticamente se a animação estiver configurada para ser acionada sozinha, o JavaScript malicioso é executado.

Se explorada, esta vulnerabilidade dá aos atacantes controle total dentro do contexto da sessão da vítima. As consequências são graves:

  • Sequestro de sessão:Os invasores podem roubar tokens de autenticação e cookies, bloqueando efetivamente o acesso dos usuários às suas contas.
  • Roubo de dados:Dados confidenciais do usuário exibidos na página podem ser capturados e enviados para servidores externos.
  • Ações não autorizadas:O script pode executar ações no site como se o usuário real as estivesse executando.

A vulnerabilidade afeta várias versões principais do @angular/compilerpackage. O Equipe angular agiu rapidamente, lançando patches para as versões 19, 20 e 21.

Notavelmente, as versões 18 e anteriores são listadas como “nenhuma” para versões corrigidas neste comunicado, sugerindo que os usuários em filiais mais antigas precisam estritamente de atualização.

Os desenvolvedores são fortemente incentivados a atualizar imediatamente para as versões corrigidas mais recentes (v19.2.17, v20.3.15 ou v21.0.2).

Para equipes que não conseguem atualizar instantaneamente, são necessárias soluções alternativas rigorosas. Você deve garantir que nenhum dado não confiável (de APIs ou bancos de dados) seja vinculado a atributos de animação SVG.

Além disso, a implementação de uma Política de Segurança de Conteúdo (CSP) robusta que bloqueie estritamente JavaScript:URLs pode neutralizar efetivamente o vetor de ataque, mesmo que a vulnerabilidade permaneça no código.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial emGoogle.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.