Angular Compiler 20.3.17 に低深刻度のXSS脆弱性、修正版が公開

Googleが開発する主要なフロントエンドフレームワーク、Angularのコンパイラパッケージに、クロスサイトスクリプティング（XSS）の脆弱性が確認された。脆弱性は `@angular/compiler` のバージョン 20.3.17 に存在し、攻撃者が悪意のあるスクリプトを注入する可能性を開く。セキュリティ企業Snykによる評価では、CVSS v4.0のスコアは2.1で「低」深刻度とされているが、CVSS v3.1では4.4の「中」深刻度と評価されており、リスク評価に差異がある。現時点で、この脆弱性を悪用した攻撃は確認されていない。

この問題は、`@angular/[email protected]` を依存関係として使用しているプロジェクトに影響を与える。具体的な導入経路の例として、`[email protected]` がこのバージョンのコンパイラを使用しているケースが挙げられている。Angularチームはすでに修正をリリースしており、影響を受けるバージョンは `@angular/[email protected]`、`@20.3.18`、`@21.2.4`、`@22.0.0-next.3` でパッチが適用されている。ユーザーは、少なくともバージョン20.3.18以降にアップグレードすることが推奨される。

この脆弱性の発見は、広く利用されているオープンソースソフトウェア（OSS）のサプライチェーンセキュリティの継続的な課題を浮き彫りにする。Angularは企業のWebアプリケーション開発で広く採用されており、このようなコアコンポーネントのセキュリティ問題は、依存関係を適切に管理していない多数の下流プロジェクトに波及するリスクを持つ。開発チームは、定期的な依存関係の更新とセキュリティアドバイザリの監視が不可欠である。なお、米国立脆弱性データベース（NVD）は現時点でこの脆弱性の分析を公開していない。