State of DevOps VietNam 2026

DevOps VietNam

Đăng nhập
Đăng ký
Đăng nhập

CVE-2026-22610: Lỗ hổng trong Angular cho phép tấn công XSS qua thẻ SVG

Một lỗ hổng bảo mật mức độ cao vừa được phát hiện trong template compiler của Angular, đặt hàng triệu ứng dụng web vào tình trạng báo động đỏ. Lỗ hổng này cho phép kẻ tấn công vượt qua hàng rào bảo vệ, thực thi mã JavaScript độc hại ngay trên trình duyệt của người dùng.

Lỗ hổng nghiêm trọng trong Angular cho phép tấn công XSS qua thẻ SVG

Cộng đồng lập trình viên Angular đang đối mặt với một mối đe dọa an ninh mới mang mã định danh CVE-2026-22610. Lỗ hổng này được các chuyên gia bảo mật đánh giá ở mức High với thang điểm CVSS lên tới 7.3/10.

Vấn đề cốt lõi nằm sâu bên trong cơ chế làm sạch dữ liệu (sanitization schema) của Angular. Hệ thống này đã thất bại trong việc nhận diện chính xác các thuộc tính hrefxlink:href bên trong thẻ SVG là những ngữ cảnh tài nguyên cần được kiểm soát nghiêm ngặt (Resource URL context).

State of DevOps VietNam 2026

Nếu bị khai thác thành công, tin tặc có thể gây ra những hậu quả khôn lường:

  • Chiếm quyền điều khiển phiên làm việc (session hijacking): Đánh cắp cookie và token xác thực.
  • Trích xuất dữ liệu trái phép: Lấy cắp thông tin nhạy cảm của người dùng.
  • Giả mạo hành động: Thực hiện các thao tác dưới danh nghĩa của nạn nhân mà không cần sự cho phép.

Lỗ hổng này xuất hiện khi lập trình viên sử dụng tính năng property binding hoặc attribute binding để gán dữ liệu từ người dùng vào các thẻ SVG. Thay vì chặn các liên kết nguy hiểm, trình biên dịch của Angular lại xử lý sai và coi chúng như các chuỗi ký tự vô hại.

Kẻ tấn công có thể khai thác sơ hở này theo các bước:

  • Lợi dụng các đoạn mã sử dụng binding động như .
  • Tiêm các Data URI chứa JavaScript (ví dụ: data:text/javascript...) hoặc đường dẫn script độc hại từ bên ngoài.
  • Vượt qua lớp bảo mật mặc định của Angular để thực thi mã tùy ý.

Tuy nhiên, cuộc tấn công chỉ thành công khi hội tụ đủ các điều kiện tiên quyết: Ứng dụng phải sử dụng thẻ SVG , có binding động trên thuộc tính href/xlink:href, và dữ liệu đầu vào không được kiểm duyệt.

Đội ngũ phát triển Angular đã hành động ngay lập tức và phát hành bản vá trên toàn bộ các nhánh phiên bản được hỗ trợ. Các quản trị viên hệ thống và DevOps cần ưu tiên cập nhật ứng dụng lên các phiên bản mới nhất.

Thông tin đáng chú ý

Sự kiện phát trực tiếp

Event Thumbnail

Sự kiện đang hiện hành

Tin tức khác

Chia sẻ bài viết:
Theo dõi
Thông báo của
0 Góp ý
Được bỏ phiếu nhiều nhất
Mới nhất Cũ nhất
Phản hồi nội tuyến
Xem tất cả bình luận