Angular Expressions - Remote Code Execution using filters — CVE-2026-44643

Résumé

## Impact An attacker can write a malicious expression that escapes the sandbox to execute arbitrary code on the system. Example of vulnerable code: ``` const expressions = require("angular-expressions"); const result = expressions.compile("a | __proto__")({}, {}); ``` This should throw the error : Filter '__proto__' is not defined, however, this shows : Uncaught SyntaxError: Unexpected identifier 'Object' With a…

Produit

npm: angular-expressions

Que faire

Mesures générales et prudentes (vérifiez les détails dans la source officielle) :

• Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
• Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
• Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
• Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.

Avis officiel

• Lire la source officielle
• CVE Record
• NVD

Avis associés