Hack Alerta

CVE-2025-66035: Angular HttpClient vaza token XSRF para domínios externos

Por Redação Hack Alerta Publicado em 27/11/2025 10:02 Riscos e Ameaças Tempo de leitura: 3 min

CVE-2025-66035 afeta o Angular HttpClient: o uso de URLs protocol‑relative (‘//’) fazia o framework anexar tokens XSRF a domínios externos, permitindo captura do token. CVSS 7.5; atualização para versões corrigidas é recomendada e o workaround é evitar URLs começando com “//”.

Uma falha crítica no Angular HttpClient pode vazar tokens XSRF (CSRF) para domínios controlados por atacantes quando a aplicação utiliza URLs que começam com “//” (protocol‑relative), segundo reportagens e o advisory público citado nas matérias.

Panorama e identificação

O problema está rastreado como CVE-2025-66035 e afeta a funcionalidade de proteção contra Cross‑Site Request Forgery presente no framework. O mecanismo do Angular decide se deve anexar o token XSRF com base na avaliação do destino da requisição; URLs protocol‑relative (por exemplo, //attacker.com) foram incorretamente identificadas como sendo same‑origin, causando o envio indevido do token.

Scores e classificações

O relatório menciona um CVSS atribuído de 7.5, indicando severidade elevada, e associa a falha a CWEs como CWE-201 (inserção de informação sensível em dados enviados) e CWE-359 (exposição de informação pessoal). As fontes consultadas incluem cobertura do advisory disponível no repositório oficial do projeto Angular.

Vetor e impacto

Se um desenvolvedor usar acidentalmente uma URL protocol‑relative que aponte para um domínio malicioso, o Angular pode anexar o token XSRF à requisição para esse destino. Um adversário que controla esse domínio poderia então capturar o token válido e utilizá‑lo para contornar proteções CSRF, realizando ações em nome do usuário (por exemplo, mudanças de configuração ou transações fraudadas), conforme exemplificado nos relatórios.

Versões e mitigação

As matérias indicam que múltiplas versões do framework são afetadas e direcionam equipes de desenvolvimento a atualizar para as versões corrigidas listadas no advisory do GitHub (GHSA-58c5-g7wp-6w37). Quando a atualização imediata não for possível, um workaround recomendado é evitar o uso de URLs que comecem com “//” e, em vez disso, utilizar caminhos relativos (começando com “/”) ou URLs absolutas (começando com “https://”).

Recomendações operacionais

  • Aplicar o patch oficial do Angular o quanto antes, seguindo as versões indicadas no advisory;
  • Auditar código para localizar occurrences de protocol‑relative URLs e substituí‑los por caminhos relativos ou absolutos;
  • Rever testes de segurança e workflows de CI/CD para detectar padrões que possam gerar esse tipo de URL;
  • Monitorar logs de servidores para requisições incomuns vindas de domínios terceiros que possam indicar captura de tokens.

Limites das informações públicas

As reportagens fornecem o CVE, o CVSS e a explicação do comportamento incorreto no tratamento de URLs, mas não listam no texto as versões específicas afetadas nem exemplos de exploração em ambiente real. Para detalhes de versão e patches, as equipes devem consultar o advisory oficial do Angular no GitHub, citado nas matérias.

Contexto

O caso reforça a importância de revisar padrões de URL em aplicações web e ilustra como decisões aparentemente inocentes (uso de protocol‑relative URLs) podem introduzir vetores de fuga de credenciais de sessão. A vulnerabilidade foi reportada publicamente e a manutenção do framework disponibilizou correções, conforme indicado no advisory citado pela cobertura.

Baseado em publicação original de Angular
Tags: #angular #xsrf #csrf #cve-2025-66035 #httpclient #security #protocol-relative #patch #web
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar