Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-54264

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
22/06/2026
Última modificación:
09/07/2026

Descripción

*** Pendiente de traducción *** Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.1, 21.2.17, and 20.3.25, an information disclosure vulnerability exists in the @angular/service-worker package of the Angular framework. When the Service Worker fetches assets, it preserves metadata (such as headers) from the original request. However, on cross-origin redirects, the Service Worker fails to strip sensitive headers, violating the Fetch redirect algorithm. This allows a remote attacker to obtain sensitive credentials (e.g., Authorization tokens, Proxy-Authorization credentials, or session cookies) by triggering a cross-origin redirect to an untrusted external origin. This vulnerability is fixed in 22.0.1, 21.2.17, and 20.3.25.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:angular:angular:*:*:*:*:*:node.js:*:* 19.2.25 (incluyendo)
cpe:2.3:a:angular:angular:*:*:*:*:*:node.js:*:* 20.0.0 (incluyendo) 20.3.25 (excluyendo)
cpe:2.3:a:angular:angular:*:*:*:*:*:node.js:*:* 21.0.0 (incluyendo) 21.2.17 (excluyendo)
cpe:2.3:a:angular:angular:*:*:*:*:*:node.js:*:* 22.0.0 (incluyendo) 22.0.1 (excluyendo)