AngularにXSS(クロスサイトスクリプティング)が可能になる脆弱性(CVE-2026-22610)

セキュリティニュース

投稿日時: 更新日時:

AngularにXSS(クロスサイトスクリプティング)が可能になる脆弱性(CVE-2026-22610)

2026年1月8日(現地時間)、Angular公式のセキュリティアドバイザリとして、Angular Template CompilerにXSS(クロスサイトスクリプティング)の脆弱性が公開されました。CVEはCVE-2026-22610で、スコアは8.5(High)としています。

概要

脆弱性の中身は、Angularの内部サニタイズ(セキュリティスキーマ)が、SVGの<script>要素にあるhrefxlink:href属性を「Resource URL(コードを読み込む文脈)」として正しく扱えていない、というものです。

その結果、テンプレートバインディングでユーザー由来の値をこれらの属性に入れていると、Angular側が危険なリソースURLとして十分に警戒せず、data:スキームなどを足がかりに任意JavaScript実行につながる可能性がある、と説明されています。

脆弱性の対象バージョン

影響対象は@angular/compiler@angular/coreで、公式アドバイザリでは次の範囲が示されています。

@angular/compiler / @angular/core は、19系は19.2.18未満、20系は20.3.16未満、21系は21.0.7未満が影響します。

またプレリリース系として、21.1.0-next.0以上21.1.0-rc.0未満21.0.0-next.0以上21.0.7未満20.0.0-next.0以上20.3.16未満19.0.0-next.0以上19.2.18未満も対象です。

さらに18.2.14以下も影響範囲として記載されています。

対策バージョン

修正は複数のメジャーラインにバックポートされており、公式には次がパッチ適用済みとして示されています。

@angular/compiler / @angular/core は、19.2.18、20.3.16、21.0.7、21.1.0-rc.0で修正済みです。

一方で18系(18.2.14以下)については「修正版なし(none)」と記載されているため、現実的には上位メジャーへのアップグレード判断が必要になります

影響

XSSが成立すると、被害は「そのブラウザセッションの中」で起きます。アドバイザリでも、セッション情報(CookieやlocalStorage等)の窃取、画面上の情報の持ち出し、ユーザーになりすました操作(フォーム送信など)につながり得る、と説明されています