Die Schwachstelle betrifft die Internationalisierungs-Pipeline (i18n) von Angular, einer Entwicklungsplattform für Web-Anwendungen. Sie sitzt in der Verarbeitung von ICU-Nachrichten – speziellen Textbausteinen für übersetzte Inhalte. HTML aus solchen übersetzten Inhalten wurde nicht ordnungsgemäß bereinigt, sodass darin eingebetteter JavaScript-Code ausgeführt werden konnte. Das ist eine Form von Cross-Site-Scripting. Der Angriffsweg ergibt sich aus dem üblichen Übersetzungsprozess: Quelltexte werden an externe Dienstleister ausgelagert und die zurückgelieferten Übersetzungen wieder in die Anwendung eingespielt. Enthält eine manipulierte Übersetzungsdatei bösartigen Inhalt, wird dieser in der Anwendung dargestellt und im Ursprung der Anwendung ausgeführt – möglich werden so etwa das Abgreifen von Anmeldedaten oder das Verfälschen von Seiteninhalten. Anders als bei vielen XSS-Lücken ist der Angriff nicht durch beliebige Nutzer auslösbar: Der Angreifer muss zuvor die Übersetzungsdatei kompromittieren. Betroffen sind nur Anwendungen, die Angular-i18n mit ICU-Nachrichten nutzen und keine schützende Content-Security-Policy einsetzen.