Angular Core 20.3.17 存在跨站脚本 (XSS) 漏洞，官方已发布修复版本

Angular 框架的核心库 `@angular/[email protected]` 版本中被发现存在一个跨站脚本 (XSS) 安全漏洞。该漏洞的 CVSS v3.1 评分为 4.4（中危），而 Snyk 的 CVSS v4.0 评分为 2.1（低危）。目前，该漏洞尚未有已知的公开利用方式，但已确认通过特定路径引入，例如在 `[email protected]` 项目中依赖了受影响的版本。

漏洞的根源在于 `@angular/[email protected]` 版本。Angular 团队已在后续版本中修复了此问题，具体包括 `@angular/[email protected]`、`@20.3.18`、`@21.2.3` 和 `@22.0.0-next.2`。对于仍在使用受影响版本的项目，官方建议立即升级至修复版本，例如将 `@angular/core` 升级到 `20.3.18` 或更高版本。

尽管当前漏洞利用成熟度较低，但 XSS 漏洞本身可能允许攻击者在用户浏览器中执行恶意脚本，从而窃取会话信息或进行其他恶意操作。对于依赖 Angular 框架进行 Web 应用开发的企业和开发者而言，这是一个需要关注的安全风险。值得注意的是，美国国家标准与技术研究院 (NVD) 的漏洞数据库尚未收录此漏洞的分析，这意味着其官方评级和影响范围可能仍在评估中。开发团队应优先检查项目依赖，并遵循安全建议进行更新。