Angular dính lỗ hổng nguy hiểm, hàng loạt ứng dụng web có thể bị khai thác

[WhiteHat Team]

Một lỗ hổng nghiêm trọng vừa được phát hiện trong framework Angular đang khiến cộng đồng phát triển web và giới an ninh mạng đặc biệt lo ngại. Lỗ hổng có mã định danh là CVE-2026-32635, kẻ tấn công có thể chèn và thực thi mã độc ngay trên trình duyệt người dùng, biến những tính năng quen thuộc thành điểm xâm nhập nguy hiểm. Điều đáng lo ngại là lỗ hổng này có thể bị khai thác khá dễ dàng trong các ứng dụng sử dụng dữ liệu động, khiến rủi ro lan rộng trong môi trường thực tế.
​

​

Theo thông tin từ GitHub Security Advisory, CVE-2026-32635 ảnh hưởng trực tiếp tới các thành phần cốt lõi của Angular bao gồm @angular/core và @angular/compiler. Phạm vi ảnh hưởng trải dài từ các phiên bản 17 cho tới các bản dựng thử nghiệm của phiên bản 22. Với việc Angular được sử dụng rộng rãi trong cả hệ thống doanh nghiệp lẫn ứng dụng hướng người dùng, bề mặt tấn công bị mở rộng đáng kể, tạo điều kiện thuận lợi cho các kịch bản khai thác thực tế.

Vấn đề phát sinh do cơ chế kiểm tra an toàn bị bỏ qua khi sử dụng đồng thời thuộc tính quốc tế hóa và các thuộc tính HTML nhạy cảm. Trong điều kiện bình thường, Angular sẽ tự động làm sạch dữ liệu được gán vào các thuộc tính như href, src hay formaction nhằm ngăn chặn chèn mã độc. Tuy nhiên, khi lập trình viên bổ sung các thuộc tính dạng i18n để phục vụ đa ngôn ngữ, cơ chế này lại không được kích hoạt như kỳ vọng.

Điều này dẫn tới một kịch bản nguy hiểm khi dữ liệu không đáng tin cậy được gán trực tiếp vào các thuộc tính nhạy cảm. Nếu giá trị này đến từ tham số URL hoặc phản hồi API, kẻ tấn công có thể chèn các payload dạng JavaScript URL và kích hoạt thực thi mã ngay trên trình duyệt của nạn nhân. Các thuộc tính bị ảnh hưởng không chỉ giới hạn ở href hay src mà còn bao gồm action, formaction, data, background, poster, longdesc, cite, codebase, itemtype và xlink:href. Đây đều là những thành phần phổ biến trong các ứng dụng web hiện đại, khiến mức độ rủi ro trong môi trường thực tế trở nên đáng kể.

Khi khai thác thành công, kẻ tấn công có thể thực thi mã JavaScript tùy ý ngay trong phiên làm việc của người dùng. Từ đó, chúng có thể đánh cắp cookie để chiếm quyền đăng nhập, lấy dữ liệu nhạy cảm từ biểu mẫu hoặc nội dung trên trang, thậm chí thực hiện các hành động trái phép dưới danh nghĩa người dùng. Đáng chú ý, việc khai thác không đòi hỏi quyền truy cập cao và chỉ cần rất ít tương tác, nên được xếp vào nhóm lỗ hổng có mức độ nghiêm trọng cao theo thang điểm CVSS phiên bản 4. Với đặc điểm này, CVE-2026-32635 được đánh giá là một trong những lỗ hổng đáng chú ý trong hệ sinh thái Angular thời gian gần đây.

Các phiên bản Angular bị ảnh hưởng bao gồm dải từ 17.0.0-next.0 tới 18.2.14, các bản 19 trước 19.2.20, bản 20 trước 20.3.18, bản 21 trước 21.2.4 và các bản dựng thử nghiệm của phiên bản 22 trước next.3. Lỗ hổng đã được khắc phục trong các phiên bản 19.2.20, 20.3.18, 21.2.4 và 22.0.0-next.3. Tuy nhiên, đáng lo ngại là các nhánh 17 và 18 hiện chưa có bản vá chính thức, khiến nhiều hệ thống vẫn đứng trước nguy cơ bị khai thác.

Các chuyên gia khuyến nghị các tổ chức cần ưu tiên cập nhật lên các phiên bản đã được vá trong thời gian sớm nhất. Trong trường hợp chưa thể nâng cấp, cần hạn chế tối đa việc gán dữ liệu không đáng tin cậy vào các thuộc tính nhạy cảm, đồng thời tránh kết hợp thuộc tính i18n với các binding động ở những vị trí có rủi ro cao. Việc sử dụng DomSanitizer để kiểm soát và làm sạch dữ liệu trước khi hiển thị cũng được xem là biện pháp giảm thiểu cần thiết.

Sự cố lần này cho thấy một khoảng trống đáng chú ý giữa các cơ chế bảo mật ở cấp framework và cách các tính năng nâng cao như quốc tế hóa được triển khai trong thực tế. Những đảm bảo an toàn vốn được tin cậy có thể bị phá vỡ trong các tình huống đặc thù, đặc biệt khi nhiều cơ chế cùng tương tác với nhau. Đây là lời cảnh báo rõ ràng cho các đội ngũ phát triển và an ninh rằng việc kiểm tra mã nguồn phía frontend cần đi sâu hơn vào các hành vi đặc thù thay vì chỉ dựa vào các đảm bảo mặc định của framework.
​

Theo Cyber Press​