Cve-2025-59052

Uma nova vulnerabilidade de alta severidade (CVE-2025-59052) foi descoberta na funcionalidade de renderização do lado do servidor (SSR) do Angular, colocando em risco dados de usuários. Essa falha permite que atacantes acessem informações de outras sessões durante operações de alta concorrência. O problema se origina de uma condição de corrida global no injetor da plataforma SSR do Angular, que armazena dados específicos de cada requisição durante a renderização. Quando múltiplas requisições são processadas simultaneamente, o estado do injetor global pode ser compartilhado ou sobrescrito, resultando em vazamento de dados entre requisições. Isso significa que dados sensíveis, como tokens de autenticação e configurações de usuários, podem ser inadvertidamente retornados a usuários não autorizados. A exploração da falha não requer privilégios especiais ou interação do usuário, tornando-a um risco significativo para aplicações web de alto tráfego. O Angular já lançou correções automáticas para as versões 18, 19 e 20, e recomenda que as equipes desativem o SSR ou removam lógica assíncrona de funções de bootstrap personalizadas até que as atualizações sejam implementadas.