Web應用開發框架Angular存在XSS漏洞,攻擊者可在瀏覽器端執行惡意JavaScript
漏洞說明
Angular團隊揭露一項跨站腳本XSS漏洞,問題源於Angular範本編譯器在處理特定SVG元素時,對安全情境的判斷出現落差,使框架內建的輸入消毒機制(Sanitization)在少數情境下可能被繞過。在符合特定條件時,攻擊者得以將惡意內容帶入頁面脈絡,進而在受害者瀏覽器工作階段中執行任意JavaScript程式碼。
修補資訊
官方已針對19、20、21分支釋出修補版本,建議使用者升級至19.2.18、20.3.16、21.0.7或21.1.0-rc.0以降低風險。