CVE-2026-54264
Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
22/06/2026
Última modificación:
09/07/2026
Descripción
*** Pendiente de traducción *** Angular is a development platform for building mobile and desktop web applications using TypeScript/JavaScript and other languages. Prior to 22.0.1, 21.2.17, and 20.3.25, an information disclosure vulnerability exists in the @angular/service-worker package of the Angular framework. When the Service Worker fetches assets, it preserves metadata (such as headers) from the original request. However, on cross-origin redirects, the Service Worker fails to strip sensitive headers, violating the Fetch redirect algorithm. This allows a remote attacker to obtain sensitive credentials (e.g., Authorization tokens, Proxy-Authorization credentials, or session cookies) by triggering a cross-origin redirect to an untrusted external origin. This vulnerability is fixed in 22.0.1, 21.2.17, and 20.3.25.
Impacto
Puntuación base 4.0
8.30
Gravedad 4.0
ALTA
Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:angular:angular:*:*:*:*:*:node.js:*:* | 19.2.25 (incluyendo) | |
| cpe:2.3:a:angular:angular:*:*:*:*:*:node.js:*:* | 20.0.0 (incluyendo) | 20.3.25 (excluyendo) |
| cpe:2.3:a:angular:angular:*:*:*:*:*:node.js:*:* | 21.0.0 (incluyendo) | 21.2.17 (excluyendo) |
| cpe:2.3:a:angular:angular:*:*:*:*:*:node.js:*:* | 22.0.0 (incluyendo) | 22.0.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página



