CVE-2026-41423

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-918 Falsificación de solicitud en servidor (SSRF)

Fecha de publicación:

08/05/2026

Última modificación:

12/05/2026

Descripción

*** Pendiente de traducción *** Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to versions 19.2.21, 20.3.19, 21.2.9, and 22.0.0-next.8, a Server-Side Request Forgery (SSRF) vulnerability exists in @angular/platform-server due to improper handling of URLs during Server-Side Rendering (SSR). When an attacker sends a request such as GET /\evil.com/ HTTP/1.1 the server engine (Express, etc.) passes the URL string to Angular’s rendering functions. Because the URL parser normalizes the backslash to a forward slash for HTTP/HTTPS schemes, the internal state of the application is hijacked to believe the current origin is evil.com. This misinterpretation tricks the application into treating the attacker’s domain as the local origin. Consequently, any relative HttpClient requests or PlatformLocation.hostname references are redirected to the attacker controlled server, potentially exposing internal APIs or metadata services. This issue has been patched in versions 19.2.21, 20.3.19, 21.2.9, and 22.0.0-next.8.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:L/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:L/SI:L/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Ninguno

Puntuación base 4.0

8.70

Gravedad 4.0

ALTA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:angular:angular::::::node.js::*		19.2.21 (excluyendo)
cpe:2.3:a:angular:angular::::::node.js::*	20.0.0 (incluyendo)	20.3.19 (excluyendo)
cpe:2.3:a:angular:angular::::::node.js::*	21.0.0 (incluyendo)	21.2.9 (excluyendo)
cpe:2.3:a:angular:angular:22.0.0:next0::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next1::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next2::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next3::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next4::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next5::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next6::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next7::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next8::::node.js::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

CPE	Desde	Hasta
cpe:2.3:a:angular:angular::::::node.js::*		19.2.21 (excluyendo)
cpe:2.3:a:angular:angular::::::node.js::*	20.0.0 (incluyendo)	20.3.19 (excluyendo)
cpe:2.3:a:angular:angular::::::node.js::*	21.0.0 (incluyendo)	21.2.9 (excluyendo)
cpe:2.3:a:angular:angular:22.0.0:next0::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next1::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next2::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next3::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next4::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next5::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next6::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next7::::node.js::*
cpe:2.3:a:angular:angular:22.0.0:next8::::node.js::*

CVE-2026-41423

Descripción

Impacto

Productos y versiones vulnerables

Referencias a soluciones, herramientas e información