该漏洞源于Angular处理国际化(i18n)安全敏感HTML属性的方式。虽然Angular默认提供强大的内置净化机制来自动清理恶意输入,但当应用为敏感属性启用国际化时,这一关键保护会被绕过。
漏洞概述
Angular框架中被发现存在一个高危跨站脚本(XSS)漏洞(CVE-2026-32635/CWE-79),影响@angular/compiler和@angular/core组件包。由于Angular被全球无数企业和消费者Web应用采用,该漏洞可能为威胁行为者提供巨大的攻击面。
漏洞成因
该漏洞源于Angular处理国际化(i18n)安全敏感HTML属性的方式。虽然Angular默认提供强大的内置净化机制来自动清理恶意输入,但当应用为敏感属性启用国际化时,这一关键保护会被绕过。
例如,在锚标签中添加i18n-href会指示框架处理该属性进行翻译。如果开发者同时将不受信任的用户生成数据绑定到该本地化属性,攻击者就能注入恶意脚本。i18n绑定会无意中迫使框架跳过标准安全检查,易受攻击的常见属性包括href、src、action、formaction和data。
利用条件与危害
利用该漏洞需要满足特定条件:目标应用必须运行存在漏洞的Angular版本,并将未净化的用户输入绑定到敏感属性,同时使用i18n-
受影响版本与修复方案
Angular团队已为多个发布分支推出安全更新,但部分旧版本仍无最新补丁:
22.0.0-next.0至22.0.0-next.3以下版本(22.0.0-next.3已修复)21.0.0-next.0至21.2.4版本(21.2.4已修复)20.0.0-next.0至20.3.18版本(20.3.18已修复)19.0.0-next.0至19.2.20版本(19.2.20已修复)17.0.0-next.0至18.2.14版本(暂无补丁)最佳防护方案是升级至Angular最新GitHub发布中列出的已修复版本。若无法立即升级,开发团队必须严格确保绑定到易受攻击属性的数据绝不来自不受信任源(如数据库查询、API响应或URL参数)。开发者也可通过Angular的DomSanitizer手动强化安全,在数据绑定到DOM前显式净化,即使国际化绕过被触发也能消除注入脚本威胁。
