Рекомендация по безопасности: Устранение недавних уязвимостей в Angular
Выпущены обновления безопасности для устранения двух уязвимостей рендеринга на стороне сервера (SSR) в Angular. Эти уязвимости включают подделку запросов на стороне сервера (SSRF) и внедрение заголовков, а также ошибку открытого перенаправления. Уязвимость SSRF позволяла злоумышленникам потенциально манипулировать HTTP-заголовками для доступа к несанкционированным доменам. Уязвимость внедрения заголовков возникла из-за доверия Angular к управляемым пользователем заголовкам для перестройки URL-адресов. Ошибка открытого перенаправления была обнаружена в том, как Angular обрабатывает заголовок X-Forwarded-Prefix. Это могло привести к перенаправлению на вредоносные веб-сайты, если заголовок X-Forwarded-Prefix не был должным образом очищен. Разработчикам настоятельно рекомендуется как можно скорее обновить свои SSR-приложения до последней версии исправления, чтобы снизить эти риски. Если SSR не используется, обновление менее срочно, но все же рекомендуется. Обходные пути включают использование абсолютных URL-адресов и реализацию строгой проверки заголовков в конфигурациях сервера. Очистка заголовка X-Forwarded-Prefix служит дополнительным обходным путем для проблемы открытого перенаправления. В отчете поощряется ответственное раскрытие информации и подчеркивается программа Google VRP. Поддержание инфраструктуры в актуальном состоянии имеет решающее значение для развертывания исправлений безопасности.
X-Forwarded-Prefix. Это могло привести к перенаправлению на вредоносные веб-сайты, если заголовокX-Forwarded-Prefixне был должным образом очищен. Разработчикам настоятельно рекомендуется как можно скорее обновить свои SSR-приложения до последней версии исправления, чтобы снизить эти риски. Если SSR не используется, обновление менее срочно, но все же рекомендуется. Обходные пути включают использование абсолютных URL-адресов и реализацию строгой проверки заголовков в конфигурациях сервера. Очистка заголовкаX-Forwarded-Prefixслужит дополнительным обходным путем для проблемы открытого перенаправления. В отчете поощряется ответственное раскрытие информации и подчеркивается программа Google VRP. Поддержание инфраструктуры в актуальном состоянии имеет решающее значение для развертывания исправлений безопасности.