Um vazamento técnico e o advisory no GitHub apontam para uma falha no sanitizador interno do compilador de templates do Angular que permite bypass de proteções e execução de JavaScript via atributos SVG. O problema está registrado como CVE-2026-22610 e o fabricante liberou versões corrigidas.
O que é a vulnerabilidade
O defeito reside na forma como o esquema de sanitização do Angular trata os atributos href e xlink:href de elementos SVG <script>. Segundo o advisory citado, o compilador classifica esses atributos como strings comuns em bindings (ex.: [attr.href]="userInput"), permitindo que URIs perigosas (por exemplo data:text/javascript) ou links externos maliciosos contornem validações.
Impacto e gravidade
CVE-2026-22610 é classificada com CVSS v4 base 7.6 (alto). A exploração permite execução de código no contexto do navegador do usuário, com consequências típicas de XSS: roubo de cookies/sessionStorage, exfiltração de dados exibidos pela aplicação e ações em nome de usuários autenticados.
Versões afetadas e correções
O advisory lista múltiplas faixas de versões afetadas dos pacotes @angular/compiler e @angular/core e as versões corrigidas correspondentes. Em resumo, as versões afetadas incluem linhas da série 19, 20, 21 e todas até 18.2.14 (sem patch disponível para a 18). As versões apontadas como seguras no advisory são:
- 21.1.0-rc.0 ou posterior (corrige a variante 21)
- 21.0.7 ou posterior
- 20.3.16 ou posterior
- 19.2.18 ou posterior
- Versões ≤ 18.2.14: não há patch — a migração é recomendada.
Condições de exploração
A exploração requer que o aplicativo Angular use SVG <script> em templates com bindings dinâmicos para href ou xlink:href, e que os dados vinculados provenham de fontes não confiáveis. Em outras palavras, aplicações que não usam esse padrão estarão fora do escopo prático do ataque; por outro lado, aplicações SPA que renderizam conteúdo SVG dinâmico a partir de entradas do usuário estão em risco até a correção.
Mitigações e recomendações
O advisory no GitHub indica atualização imediata para as versões corrigidas. Enquanto o patch não for aplicado, a orientação técnica é evitar bindings dinâmicos em atributos href/xlink:href de elementos SVG <script>, e implementar validação estrita no servidor para quaisquer URLs dinâmicos que alcancem templates.
O que falta e ações operacionais
O material público não reporta exploração ativa em larga escala no momento do advisory; portanto, o risco imediato depende da presença das condições de exploração nos aplicativos. Equipes de segurança e desenvolvimento devem:
- Inventariar projetos que usam Angular e identificar templates com SVG e bindings dinâmicos;
- Priorizar atualização para as versões seguras listadas no advisory;
- Adicionar testes SAST/DAST focados em XSS via atributos SVG e revisar pipelines de CI para bloquear versões afetadas;
- Considerar compensações temporárias (sanitização server-side e WAF) até a correção completa.
Fonte: Cyber Security News (resumo do advisory de segurança publicado no repositório do Angular/GitHub e informações de CVSS incluídas no advisory).