Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Angular 是一个开发平台，用于使用 TypeScript/JavaScript 和其他语言构建移动和桌面 Web 应用程序。低于 21.2.0、 21.1.16、 20.3.17和 19.2.19 的版本在 Angular国际化 (i18n) 管道中存在跨站脚本漏洞。在 ICU 消息 (International Components for Unicode) 中来自已翻译内容的 HTML 没有得到正确审查因此可能执行任意 JavaScript。Angular i18n 通常涉及三个步骤：从应用程序中以源语言提取所有消息、发送要翻译的消息，以及将其翻译合并回最终的源代码。翻译通常由与特定合作伙伴公司签订的合同处理，涉及将源消息发送给单独的合同工，然后再收到用于向最终用户显示的最终翻译。如果返回的翻译包含恶意内容其可被渲染到应用程序中并执行任意 JavaScript。当成功利用时此漏洞允许在应用程序源中执行攻击者控制的 JavaScript。根据所利用应用程序的性质这可能会导致凭据外泄和/或页面遭到破坏。此攻击适用多个先决条件。攻击者必须危害转换文件（xliff、xtb 等）。与大多数 XSS 漏洞不同的是任意用户都无法利用此问题。攻击者必须首先破坏应用程序的转换文件才能将权限提升到 Angular 应用程序客户端。受害应用程序必须使用 Angular i18n、使用一个或多个 ICU 消息、渲染 ICU 消息并且不通过安全内容的安全策略防御 XSS。版本 21.2.0、 21.1.6、 20.3.17和 19.2.19 修补了此问题。在此修补程序安装之前开发人员应考虑将来自不受信任的第三方的翻译内容合并到 Angular 应用程序中之前对其进行检查和验证启用严格的 CSP 控制以阻止未经授权的 JavaScript 在页面上执行并启用受信任类型以强制执行适当的 HTML 审查。 (CVE-2026-27970)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

检测

Linux Distros 未修补的漏洞：CVE-2026-27970

high Nessus 插件 ID 300236

版本 1.3