Vulnerabilidad en angular-cli de angular (CVE-2026-33397)

El Angular SSR es una herramienta de renderizado de ascenso del servidor para aplicaciones Angular. Las versiones de la rama 22.x anteriores a la 22.0.0-next.2, la rama 21.x anteriores a la 21.2.3 y la rama 20.x anteriores a la 20.3.21 tienen una vulnerabilidad de redirección abierta en '@angular/ssr' debido a una corrección incompleta para CVE-2026-27738. Aunque la corrección original bloqueó con éxito múltiples barras diagonales iniciales (p. ej., '///'), la lógica de validación interna no tiene en cuenta un bypass de una sola barra invertida ('\'). Cuando una aplicación Angular SSR se despliega detrás de un proxy que pasa el encabezado 'X-Forwarded-Prefix', un atacante proporciona un valor que comienza con una sola barra invertida, la validación interna no marcó la única barra invertida como inválida, la aplicación antepone una barra diagonal inicial, resultando en un encabezado 'Location' que contiene la URL, y los navegadores modernos interpretan la secuencia '/\' como '//', tratándola como una URL relativa al protocolo y redirigiendo al usuario al dominio controlado por el atacante. Además, la respuesta carece del encabezado 'Vary: X-Forwarded-Prefix', permitiendo que la redirección maliciosa se almacene en cachés intermedias (Envenenamiento de Caché Web). Las versiones 22.0.0-next.2, 21.2.3 y 20.3.21 contienen un parche. Hasta que se aplique el parche, los desarrolladores deben sanear el encabezado 'X-Forwarded-Prefix' en su 'server.ts' antes de que el motor de Angular procese la solicitud.