Vulnerabilità nel framework Angular (AL04/251127/CSIRT-ITA)

Data:
27 Novembre 2025

Impatto Sistemico

Medio (63.46)

Sintesi

Rilevata una vulnerabilità con gravità “alta” nella classe HttpClient del framework Angular. Tale vulnerabilità, qualora sfruttata, potrebbe consentire ad un utente malintenzionato di acquisire il token XSRF della vittima. Una volta ottenuto il token, l’attaccante potrebbe effettuare attacchi di tipo Cross-Site Request Forgery durante la sessione della vittima.

Tipologia

Security Feature Bypass

Prodotti e versioni affette

Angular

21.x, versioni precedenti alla 21.0.1
20.x, versioni precedenti alla 20.3.14
19.x, versioni precedenti alla 19.2.16
versione 18.2.14 e precedenti

Azioni di mitigazione

Si raccomanda di aggiornare i prodotti vulnerabili all’ultima versione disponibile seguendo le indicazioni presenti al link riportato nella sezione Riferimenti.

N.B. : Per le versioni del prodotto non supportate (End of Life), si consiglia di seguire le mitigazioni riportate nella sezione “Workarounds” del bollettino di sicurezza

Riferimenti

https://github.com/angular/angular/security/advisories/GHSA-58c5-g7wp-6w37

CVE

CVE-ID
CVE-2025-66035

Change log

Versione	Note	Data
1.0	Pubblicato il 27-11-2025	27/11/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

27 Novembre 2025, 15:26

CSIRT Toscana

CSIRT Toscana