Die Schwachstelle steckt in Angular SSR, dem Werkzeug für das serverseitige Rendern von Angular-Anwendungen. Beim Zusammensetzen der Basis-URL einer Anfrage vertraut die interne Logik den vom Client gelieferten HTTP-Kopfzeilen – konkret dem Host-Header und der X-Forwarded-Familie – und übernimmt sie ungeprüft, um die Ursprungsadresse der Anwendung zu bestimmen. Es fehlen Prüfungen der Zieldomain, eine Bereinigung von Host und Pfad sowie eine Validierung des Ports. Dadurch entsteht eine serverseitige Anfragefälschung (SSRF): Ein Angreifer, der diese Kopfzeilen beeinflussen kann, lenkt damit serverseitig ausgelöste Anfragen auf beliebige interne Ziele um. So lassen sich interne Netze abtasten, vertrauliche Daten und Zugangsdaten abgreifen und die Vertraulichkeit verletzen. Verwundbar sind Anwendungen, die Angular SSR nutzen und entweder HttpClient-Anfragen mit relativen URLs stellen oder URLs manuell aus den ungeprüften Headern über das REQUEST-Objekt bilden – sofern ein vorgelagerter Proxy die eingehenden Kopfzeilen nicht streng prüft.