文章总结： Angular框架i18n管道被发现存在高危XSS漏洞CVE-2026-27970，源于对ICU消息HTML代码清理不当，攻击者可通过篡改翻译文件植入后门窃取凭证。攻击需满足入侵翻译文件且未部署CSP等前提。官方已发布安全补丁，建议开发者尽快升级至安全版本，若无法修补需手动审查翻译内容并启用严格内容安全策略。 综合评分： 80 文章分类： 漏洞分析,WEB安全,漏洞预警,安全建设

Angular i18n 中存在高危 XSS 漏洞，可将语言文件变成后门

sec随谈 sec随谈

sec随谈

2026年3月3日 08:49 北京

广泛使用的Angular Web构建平台中发现了一个新的安全 漏洞。该漏洞编号为CVE-2026-27970（严重级别为7.6），表明黑客可以轻易地将恶意代码隐藏在标准翻译文件中，从而将例行的语言更新变成窃取敏感用户数据的危险后门。

漏洞在于Angular的“国际化”（i18n）管道。当开发人员想要支持多种语言时，他们会使用一种名为“ICU消息”的格式来处理复杂的翻译（例如处理复数形式或带性别的名词）。

通常情况下，像 Angular 这样的 Web 框架会非常严格地“清理”或清除屏幕上显示的所有数据，以确保不会意外运行恶意代码。然而，研究人员发现 Angular 未能正确清理隐藏在这些已翻译的 ICU 消息中的 HTML 代码。

如果黑客设法入侵了翻译文件（通常由外部承包商处理），他们就可以秘密地将恶意 JavaScript 代码注入到看似无害的翻译文本中。当应用程序加载翻译内容供用户使用时，就会意外执行黑客的代码。这种攻击被称为跨站脚本攻击 (XSS)。

由于恶意代码直接在受害者的浏览器中执行，攻击者可以完全控制用户的会话。

官方公告重点强调了两大主要危险：

• 凭证窃取（数据盗窃）：攻击者的代码可以悄无声息地窃取存储在浏览器内存、Cookie 或本地存储中的敏感用户数据。这意味着密码、会话令牌和个人信息可以直接传输到黑客的服务器。
• 页面破坏：攻击者可以篡改网页，改变网页的外观或行为，从而诱骗用户交出更多信息。

与典型的跨站脚本攻击（XSS）不同，后者攻击者只需在公共评论区输入恶意代码即可，而这种攻击有严格的前提条件。攻击者必须首先在源端或从承包商传输的过程中，攻破应用程序的实际翻译文件（例如 .xliff 或 .xtb 文件）。

此外，只有当开发人员未能实施标准的现代安全防护措施（例如严格的内容安全策略 (CSP) 或受信任类型）时，该攻击才会奏效，这些措施旨在阻止未经授权的脚本运行。

Angular 团队已发布安全补丁来修复此清理漏洞。开发人员应将环境升级到以下安全版本之一：

21.2.0

21.1.6

20.3.17

19.2.19

如果无法立即进行修补，安全专家强烈建议开发人员手动审查从第三方收到的任何翻译内容，并启用严格的内容安全策略 (CSP)，以阻止恶意代码的传播。

参考链接：

https://github.com/angular/angular/security/advisories/GHSA-prjf-86w9-mfqv

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《Angular i18n 中存在高危 XSS 漏洞，可将语言文件变成后门》