Angular Security Vulnerabilities in 2026: CVE-2026-27739 (CVSS 9.2 SSRF), XSS Epidemic & Complete Hardening GuideVulnérabilités Angular en 2026 : CVE-2026-27739 (CVSS 9.2 SSRF), Épidémie XSS & Guide de Durcissement Complet

Angular has long been praised for building security into the framework — automatic output encoding, a strict template compiler, DomSanitizer, and TrustedTypes support since Angular 11. Yet between late 2025 and May 2026, the Angular team published seven CVEs across its core packages. The most serious, CVE-2026-27739, scores CVSS 9.2 (Critical) and lets any network attacker manipulate HTTP headers to reroute Angular SSR server-side requests to an arbitrary destination. A second flaw, CVE-2026-27970, is remarkable for a different reason: it affects every single Angular version ever released, but only versions 19–21 received upstream patches. If your team is on Angular 4 through 17, the framework will never fix it for you.

Angular est souvent cité comme un framework sécurisé par conception — encodage automatique des sorties, compilateur de templates strict, DomSanitizer, support TrustedTypes depuis Angular 11. Pourtant, entre fin 2025 et mai 2026, l’équipe Angular a publié sept CVE sur ses packages principaux. Le plus grave, CVE-2026-27739, obtient un score CVSS 9.2 (Critique) et permet à tout attaquant réseau de manipuler des en-têtes HTTP pour rediriger les requêtes Angular SSR vers une destination arbitraire. Une deuxième faille, CVE-2026-27970, est remarquable pour une raison différente : elle affecte toutes les versions Angular jamais publiées, mais seules les versions 19–21 ont reçu des correctifs officiels.

Angular in 2026 — A Massive Enterprise Attack Surface

Angular en 2026 — Une Surface d’Attaque Entreprise Massive

Angular's security posture matters at scale. According to the Stack Overflow Developer Survey 2025, 18.2% of all developers actively use Angular — making it the second most-used frontend framework globally, behind only React (44.7%). More than 51,737 companies worldwide have adopted Angular as their primary frontend framework (6sense, 2026). On npm, Angular downloads surged to over 4.7 million downloads per week in late 2025. Unlike React, Angular dominates enterprise and government applications: Fortune 500 companies, banking systems, and healthcare portals rely on it for mission-critical frontends. That makes every Angular CVE a high-priority patch event.

La posture de sécurité Angular importe à grande échelle. Selon le Stack Overflow Developer Survey 2025, 18,2 % des développeurs utilisent activement Angular — 2e framework frontend mondial, derrière React (44,7 %). Plus de 51 737 entreprises dans le monde ont adopté Angular comme framework frontend principal (6sense, 2026). Sur npm, les téléchargements Angular ont dépassé 4,7 millions par semaine fin 2025. Contrairement à React, Angular domine les applications entreprise et gouvernementales : Fortune 500, systèmes bancaires, portails de santé. Chaque CVE Angular est donc un événement de patch haute priorité.

CVE-2026-27739 — Critical SSRF in Angular SSR (CVSS 9.2)

CVE-2026-27739 — SSRF Critique dans Angular SSR (CVSS 9.2)

Published in March 2026, CVE-2026-27739 is the most severe Angular vulnerability disclosed to date, with a CVSS v4.x base score of 9.2 (Critical). It affects the Angular Server-Side Rendering (SSR) pipeline, specifically the way Angular reconstructs the application's base request URL during server rendering.

Publiée en mars 2026, CVE-2026-27739 est la vulnérabilité Angular la plus grave jamais divulguée, avec un score CVSS v4.x de 9.2 (Critique). Elle affecte le pipeline Angular SSR (Server-Side Rendering), plus précisément la manière dont Angular reconstruit l’URL de base de la requête lors du rendu côté serveur.

Root Cause

Cause Racine

During SSR, Angular reconstructs the application’s base URL from user-controlled HTTP headers — Host, X-Forwarded-Host, X-Forwarded-Proto, and X-Forwarded-Port — without validating that these values point to a trusted origin. Angular performed no host domain validation (Host and X-Forwarded-Host were accepted unchecked), no path or special-character sanitization on X-Forwarded-Host, and no numeric validation on X-Forwarded-Port. Because Angular SSR uses this reconstructed origin to resolve relative URLs when initiating backend HTTP requests during rendering, an attacker who can set request headers can redirect those backend calls to an arbitrary server they control.

Pendant le SSR, Angular reconstruit l’URL de base de l’application depuis des en-têtes HTTP contrôlés par l’utilisateur — Host, X-Forwarded-Host, X-Forwarded-Proto et X-Forwarded-Port — sans valider que ces valeurs pointent vers une origine de confiance. Angular n’effectuait aucune validation du domaine (Host et X-Forwarded-Host acceptés sans contrôle), aucune désinfection de chemin sur X-Forwarded-Host, et aucune validation numérique sur X-Forwarded-Port. Comme Angular SSR utilise cette origine reconstruite pour résoudre les URLs relatives lors des requêtes HTTP backend pendant le rendu, un attaquant capable de manipuler ces en-têtes peut rediriger ces appels backend vers un serveur arbitraire.

The potential consequences are severe: Server-Side Request Forgery (SSRF) enabling internal network probing, access to cloud metadata endpoints (e.g., 169.254.169.254), credential exfiltration, and a confidentiality breach of internal services not meant to be publicly accessible. SSR applications behind a load balancer or reverse proxy that forwards client headers without stripping them are especially exposed.

Les conséquences potentielles sont sévères : Server-Side Request Forgery (SSRF) permettant de sonder le réseau interne, d’accéder aux endpoints de métadonnées cloud (ex. : 169.254.169.254), d’exfiltrer des credentials, et de compromettre la confidentialité de services internes. Les applications SSR derrière un load balancer ou reverse proxy qui transfère les en-têtes clients sans les filtrer sont particulièrement exposées.

Fix: Upgrade to Angular 19.2.21+, 20.3.17+, or 21.1.5+. Additionally, configure your reverse proxy (Nginx/Apache/Cloudflare) to strip and override X-Forwarded-Host, X-Forwarded-Proto, and X-Forwarded-Port before passing requests to your Angular SSR process — never trust client-supplied forwarding headers in production.

Correction : Mettez à jour vers Angular 19.2.21+, 20.3.17+ ou 21.1.5+. Configurez également votre reverse proxy (Nginx/Apache/Cloudflare) pour supprimer et écraser X-Forwarded-Host, X-Forwarded-Proto et X-Forwarded-Port avant de transmettre les requêtes à votre processus Angular SSR — ne faites jamais confiance aux en-têtes de transfert fournis par le client en production.

CVE-2026-22610 — XSS via SVG Script Attributes (CVSS 8.5)

CVE-2026-22610 — XSS via Attributs SVG Script (CVSS 8.5)

CVE-2026-22610 scores CVSS v4.0 8.5 (High) and targets Angular’s Template Compiler sanitization logic. The bug is subtle: SVG <script> elements use href or xlink:href attributes — not src like HTML scripts. Angular’s sanitizer schema was not updated to recognize these SVG-specific attributes as Resource URL contexts, so they were treated as harmless string bindings and passed through without sanitization. An attacker who can inject content into template bindings (e.g., from a CMS, user-generated content, or a compromised data source) can embed a <svg><script xlink:href="data:,alert(1)"></script></svg> payload that the Angular compiler renders without stripping.

CVE-2026-22610 obtient CVSS v4.0 8.5 (High) et cible la logique de désinfection du compilateur de templates Angular. Le bug est subtil : les éléments SVG <script> utilisent des attributs href ou xlink:href — pas src comme les scripts HTML. Le schéma du sanitizer Angular n’avait pas été mis à jour pour reconnaître ces attributs spécifiques au SVG comme des contextes Resource URL, donc ils étaient traités comme de simples chaînes inoffensives et transmis sans désinfection.

Fix: Upgrade to Angular 19.2.18+, 20.3.16+, or 21.0.7+. Additionally, enforce a Content Security Policy that restricts script sources — a properly deployed CSP would have prevented this XSS class from executing even in the presence of the bug.

Correction : Mettez à jour vers Angular 19.2.18+, 20.3.16+ ou 21.0.7+. Déployez également une Content Security Policy restreignant les sources de scripts — une CSP correctement configurée aurait empêché l’exécution de cette classe XSS même en présence du bug.

CVE-2026-27970 — XSS in i18n ICU Messages Affecting Every Angular Version Ever Released (CVSS 7.6)

CVE-2026-27970 — XSS dans les Messages i18n ICU Affectant Toutes les Versions Angular (CVSS 7.6)

Published February 26, 2026, CVE-2026-27970 carries a CVSS v4.0 score of 7.6 (High) and is unique in Angular’s CVE history: it affects every Angular version ever released. The vulnerability is in the i18n pipeline’s handling of ICU messages — the syntax Angular uses for pluralization, gender selection, and conditional translations (e.g., {count, plural, one {item} other {items}}). HTML embedded within translated ICU content was not sanitized before being rendered into the DOM. If an attacker can compromise translation files — through a CMS, a malicious translator, a supply-chain compromise of a translation service, or a server-side translation file injection — they can inject arbitrary JavaScript that executes in the victim’s browser session.

Publiée le 26 février 2026, CVE-2026-27970 obtient un score CVSS v4.0 de 7.6 (High) et est unique dans l’historique CVE Angular : elle affecte toutes les versions Angular jamais publiées. La vulnérabilité se situe dans la gestion des messages ICU par le pipeline i18n — la syntaxe Angular pour la pluralisation, la sélection de genre et les traductions conditionnelles. Le HTML intégré dans les contenus ICU traduits n’était pas assaini avant d’être rendu dans le DOM. Un attaquant capable de compromettre les fichiers de traduction peut injecter du JavaScript arbitraire exécuté dans la session navigateur de la victime.

The impact is especially serious for organizations running Angular versions 4 through 17, which have all reached end-of-life. The Angular open-source project will not backport this patch. If your application uses Angular i18n with ICU messages on any of these versions, you are permanently exposed unless you migrate to a supported version (18+) or source commercial extended support from providers like HeroDevs.

L’impact est particulièrement sérieux pour les organisations utilisant les versions Angular 4 à 17, toutes en fin de vie. Le projet open-source Angular ne portera jamais ce correctif en arrière. Si votre application utilise Angular i18n avec des messages ICU sur l’une de ces versions, vous êtes définitivement exposé sauf migration vers une version supportée (18+) ou souscription à un support étendu commercial.

CVE-2026-32635 — i18n Binding XSS Bypass

CVE-2026-32635 — Contournement XSS par Liaison i18n

CVE-2026-32635 (CWE-79) affects both @angular/compiler and @angular/core. The i18n binding mechanism inadvertently caused the Angular framework to skip its standard security checks on commonly targeted attributes, including href, src, action, formaction, and data. Attributes that would normally be sanitized as Resource URL contexts were left unprotected when accessed through i18n bindings. This compounds CVE-2026-27970’s i18n attack surface — the i18n subsystem proved to be a blind spot in Angular’s security model that required multiple patches to close.

CVE-2026-32635 (CWE-79) affecte à la fois @angular/compiler et @angular/core. Le mécanisme de liaison i18n amenère le framework Angular à ignorer ses contrôles de sécurité standard sur des attributs couramment ciblés : href, src, action, formaction et data. Des attributs qui auraient normalement été traités comme contextes Resource URL restaient non protégés lors d’accès via les liaisons i18n. Cela aggrave la surface d’attaque i18n de CVE-2026-27970 — le sous-système i18n s’est avéré être un angle mort du modèle de sécurité Angular.

A Pattern Already Visible in 2025

Un Schéma Déjà Visible en 2025

The 2026 CVEs did not appear in a vacuum. Angular’s late-2025 disclosures already signaled a broadening attack surface across SSR and core template handling:

Les CVE 2026 n’ont pas émergé dans le vide. Les divulgations fin 2025 signalaient déjà une surface d’attaque croissante autour du SSR et du compilateur de templates :

• CVE-2025-59052 (CVSS 7.1 — High): A race condition in Angular SSR could leak request-scoped data (tokens, session cookies, user state) between concurrent server-side rendering requests. Applications with significant concurrent load were especially at risk.
• CVE-2025-59052 (CVSS 7.1 — High): Une condition de course dans Angular SSR pouvait fuiter des données de portée de requête (tokens, cookies de session, état utilisateur) entre des requêtes SSR concurrentes.
• CVE-2025-66035 (CVSS 7.7 — High): Angular’s HTTP client could unintentionally leak XSRF tokens when using protocol-relative URLs (e.g., //api.example.com). The XSRF token, intended to protect against cross-site request forgery, was instead sent cross-origin — negating its purpose entirely.
• CVE-2025-66035 (CVSS 7.7 — High): Le client HTTP Angular pouvait fuiter involontairement des tokens XSRF lors de l’utilisation d’URLs relatives au protocole (ex. : //api.example.com), en les envoyant cross-origin — annulant complètement leur protection CSRF.
• CVE-2025-66412: Template compiler XSS — an additional flaw in Angular’s sanitization schema, continuing the pattern of sanitization bypasses in the template compilation pipeline.
• CVE-2025-66412 : XSS du compilateur de templates — une faille supplémentaire dans le schéma de désinfection Angular, poursuivant le schéma de contournements de la désinfection dans le pipeline de compilation.

The pattern is clear: Angular's security model is sound in general, but specific subsystems — SSR request handling, the i18n pipeline, and SVG attribute sanitization — have been systematically overlooked. These are exactly the areas to audit in your Angular codebase.

Le schéma est clair : le modèle de sécurité Angular est globalement solide, mais des sous-systèmes spécifiques — gestion des requêtes SSR, pipeline i18n et désinfection des attributs SVG — ont été systématiquement négligés. Ce sont exactement ces zones à auditer dans votre codebase Angular.

Angular Security Hardening Guide 2026

Guide de Durcissement Angular 2026

1 — Keep Angular Updated (and Know Your EOL Status)

1 — Maintenir Angular à Jour (et Connaître le Statut de Fin de Vie)

Angular follows a strict release cadence — major versions every 6 months, with 18 months of active support and a further 12 months of Long-Term Support (LTS). Versions 4 through 17 are permanently end-of-life and will never receive security patches for vulnerabilities like CVE-2026-27970. If you are running Angular 17 or earlier, you are running unpatched software against known XSS vectors. Audit your package.json and plan a migration to Angular 19 or 20.

Angular suit une cadence de publication stricte — versions majeures tous les 6 mois, avec 18 mois de support actif et 12 mois de Long-Term Support (LTS). Les versions 4 à 17 sont définitivement en fin de vie et ne recevront jamais de correctifs pour des vulnérabilités comme CVE-2026-27970. Si vous utilisez Angular 17 ou antérieur, vous exécutez des logiciels non patchés contre des vecteurs XSS connus.

2 — Deploy Content Security Policy (CSP) with TrustedTypes

2 — Déployer une Content Security Policy (CSP) avec TrustedTypes

Angular has supported Trusted Types since Angular 11. CSP with Trusted Types is the most effective defense against DOM-based XSS — it operates at the browser level, intercepting DOM sink operations, so it stops XSS even when the framework's sanitizer has a bug. Add the following headers to your server responses:

Angular supporte les Trusted Types depuis Angular 11. Une CSP avec Trusted Types est la défense la plus efficace contre le XSS DOM — elle opère au niveau du navigateur, interceptant les opérations sur les sinks DOM, bloquant le XSS même lorsque le sanitizer du framework a un bug. Ajoutez les en-têtes suivants à vos réponses serveur :

# Minimal Angular CSP (nonce-based)
Content-Security-Policy:
  default-src 'self';
  script-src 'self' 'nonce-{RANDOM_NONCE}';
  style-src 'self' 'nonce-{RANDOM_NONCE}';
  object-src 'none';
  base-uri 'self';

# Trusted Types enforcement (strongest protection)
Content-Security-Policy:
  trusted-types angular;
  require-trusted-types-for 'script';

# If you use bypassSecurityTrust* APIs:
Content-Security-Policy:
  trusted-types angular angular#unsafe-bypass;
  require-trusted-types-for 'script';

3 — Harden Angular SSR Against Header Injection

3 — Durcir Angular SSR Contre l’Injection d’En-têtes

For applications using Angular SSR, configure your reverse proxy to strip and override forwarding headers before they reach Angular. With Nginx:

Pour les applications utilisant Angular SSR, configurez votre reverse proxy pour supprimer et écraser les en-têtes de transfert avant qu’ils atteignent Angular. Avec Nginx :

# nginx.conf — Strip client-supplied forwarding headers
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Host $host;
proxy_set_header X-Forwarded-Proto $scheme;
proxy_set_header X-Forwarded-Port $server_port;
proxy_set_header X-Real-IP $remote_addr;

# Explicitly clear any client-supplied values
proxy_hide_header X-Forwarded-Host;

4 — Audit Usage of bypassSecurityTrust* APIs

4 — Auditer l’Utilisation des APIs bypassSecurityTrust*

Angular provides escape hatches — DomSanitizer.bypassSecurityTrustHtml(), bypassSecurityTrustUrl(), bypassSecurityTrustScript(), etc. — for cases where developers need to inject trusted HTML. These APIs explicitly disable Angular’s sanitizer for the value in question. Grep your codebase for these calls and verify each one passes only values you control end-to-end:

Angular fournit des échappatoires — DomSanitizer.bypassSecurityTrustHtml(), bypassSecurityTrustUrl(), bypassSecurityTrustScript() — pour les cas où du HTML de confiance doit être injecté. Ces APIs désactivent explicitement le sanitizer Angular. Parcourez votre codebase pour ces appels et vérifiez que chacun n’utilise que des valeurs que vous contrôlez :

# Find all bypass calls in your Angular project
grep -r "bypassSecurityTrust" src/ --include="*.ts"

# Each result requires a security review:
# - Is the value from user input? → HIGH RISK
# - Is the value from a database field? → MEDIUM RISK (depends on sanitization at write time)
# - Is the value a compile-time constant? → LOW RISK

5 — Treat Translation Files as Security-Sensitive Artifacts

5 — Traiter les Fichiers de Traduction comme des Artefacts Sécurité

CVE-2026-27970 and CVE-2026-32635 both require an attacker to control translation content. Review how your i18n files are generated and deployed: if they are fetched at runtime from an external service, CDN, or editable CMS, an attacker who compromises that source gains XSS execution in your Angular app. Prefer bundling translations at build time and applying integrity checks (Subresource Integrity or signed artifact verification) when translations are fetched dynamically.

CVE-2026-27970 et CVE-2026-32635 nécessitent toutes deux qu’un attaquant contrôle le contenu des traductions. Vérifiez comment vos fichiers i18n sont générés et déployés : si des traductions sont récupérées à l’exécution depuis un service externe, un CDN ou un CMS modifiable, un attaquant compromettant cette source obtient une exécution XSS dans votre app Angular. Préférez intégrer les traductions à la compilation et appliquer des vérifications d’intégrité lors de récupérations dynamiques.

6 — Monitor Your Angular Dependencies Continuously

6 — Surveiller Vos Dépendances Angular en Continu

Angular itself is a large dependency tree. @angular/core, @angular/ssr, @angular/compiler, @angular/router, @angular/common — each of these packages can carry its own CVEs, as we have seen throughout 2025–2026. Running npm audit once at deploy time is insufficient. New CVEs are published daily, and the average time between CVE publication and active exploitation is shrinking.

Angular lui-même est un grand arbre de dépendances. @angular/core, @angular/ssr, @angular/compiler, @angular/router, @angular/common — chacun peut porter ses propres CVE, comme nous l’avons vu tout au long de 2025–2026. Exécuter npm audit une seule fois au déploiement est insuffisant. De nouvelles CVE sont publiées chaque jour.

Frequently Asked Questions

Questions Fréquentes