← voltar
CVE-2026-41468

Beghelli Sicuro24 SicuroWeb AngularJS Sandbox Escape via Template Injection

CVSS 9.3 CRITICALEPSS 0.4%CWE-1104
Em resumo

O Beghelli Sicuro24 SicuroWeb usa uma versão desatualizada do AngularJS que pode ser contornada por atacantes para executar código malicioso no navegador do usuário. Isso permite que criminosos roubem sessões, manipulem a página ou assumam o controle total do navegador sem que o usuário perceba.

Detalhe técnico

A aplicação incorpora AngularJS 1.5.2, que contém primitivos conhecidos de escape de sandbox explorável via template injection. Atacantes adjacentes à rede podem entregar o payload de injeção através de ataques MITM em conexões HTTP em plaintext, alcançando execução arbitrária de JavaScript em sessões de operador sem interação do usuário, levando a sequestro de sessão e comprometimento persistente.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Beghelli Sicuro24 SicuroWeb embeds AngularJS 1.5.2, an end-of-life component containing known sandbox escape primitives. When combined with template injection present in the same application, these primitives allow attackers to escape the AngularJS sandbox and achieve arbitrary JavaScript execution in operator browser sessions, enabling session hijacking, DOM manipulation, and persistent browser compromise. Network-adjacent attackers can deliver the complete injection and escape chain via MITM in plaintext HTTP deployments without active user interaction.
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L
Produtos afetados
Beghelli · SicuroWeb (Sicuro24)

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/kmkz/Exploits/blob/master/2026/CVE-2026-22191-POC.pyhttps://github.com/kmkz/Exploits/blob/master/2026/CVE-2026-22191-SicuroWeb-ATI-chain.txthttps://www.beghelli.ithttps://www.boffsec-services.com/posts/sicuroweb-cve-2026-22191/https://www.vulncheck.com/advisories/beghelli-sicuro24-sicuroweb-angularjs-sandbox-escape-via-template-injection