Vulnerabilidad en la manipulación de los comentarios en Angular (CVE-2021-4231)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/05/2022
Última modificación:
20/11/2025
Descripción
Se ha encontrado una vulnerabilidad en Angular versiones hasta 11.0.4/11.1.0-next.2. Ha sido clasificada como problemática. Está afectada la manipulación de los comentarios. La manipulación conlleva a un ataque de tipo cross site scripting. Es posible lanzar el ataque de forma remota, pero podría requerir una autenticación previa. La actualización a versiones 11.0.5 y 11.1.0-next.3 puede abordar este problema. El nombre del parche es ba8da742e3b243e8f43d4c63aa842b44e14f2b09. Es recomendado actualizar el componente afectado
Impacto
Puntuación base 3.x
3.50
Gravedad 3.x
BAJA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:angular:angular:11.1.0:next0:*:*:*:*:*:* | ||
| cpe:2.3:a:angular:angular:11.1.0:next1:*:*:*:*:*:* | ||
| cpe:2.3:a:angular:angular:11.1.0:next2:*:*:*:*:*:* | ||
| cpe:2.3:a:angularjs:angularjs:*:*:*:*:*:*:*:* | 11.0.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/angular/angular/commit/ba8da742e3b243e8f43d4c63aa842b44e14f2b09
- https://github.com/angular/angular/issues/40136
- https://security.snyk.io/vuln/SNYK-JS-ANGULARCORE-1070902
- https://vuldb.com/?id_181356=
- https://github.com/angular/angular/commit/ba8da742e3b243e8f43d4c63aa842b44e14f2b09
- https://github.com/angular/angular/issues/40136
- https://security.snyk.io/vuln/SNYK-JS-ANGULARCORE-1070902
- https://vuldb.com/?id_181356=