## Angular Template Compiler 漏洞 (CVE-2025-66412)：存储型 XSS 风险，需紧急更新至 v20.3.18
Angular 框架的核心组件 `@angular/compiler` 中发现一个高危安全漏洞，被标记为 CVE-2025-66412。该漏洞属于存储型跨站脚本攻击（Stored XSS），直接影响 Angular 模板编译器。这意味着攻击者可能通过精心构造的恶意模板，在用户浏览器中执行任意代码，从而窃取用户会话、篡改页面内容或进行其他恶意操作。该漏洞的严重性在于其位于框架的编译层，可能影响所有使用受影响版本构建的 Angular 应用。

漏洞详情显示，问题存在于 `@angular/compiler` 的 20.3.11 及更早版本中。Angular 官方安全团队已发布修复版本 20.3.18。依赖管理工具 Renovate 已自动创建拉取请求（PR），建议项目立即将依赖从 `20.3.11` 升级至 `20.3.18`。根据 Renovate 的合并信心度评估，此次更新属于常规安全补丁，升级风险较低，但修复的却是高风险的安全缺陷。

对于全球数百万使用 Angular 进行前端开发的企业和开发者而言，此漏洞构成了直接的供应链安全威胁。任何未及时应用补丁的线上应用都可能暴露在攻击之下。开发团队应立即检查项目依赖，并优先合并此安全更新。在复杂的微前端架构或拥有大量遗留代码库的组织中，识别和更新所有受影响实例可能面临挑战，但延迟行动将显著增加被利用的风险。此次事件再次凸显了在软件开发供应链中，对基础框架保持持续安全监控和及时更新的极端重要性。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: Angular, CVE-2025-66412, XSS, 供应链安全, 前端安全
- **Credibility**: unverified
- **Published**: 2026-04-18 18:22:38
- **ID**: 70757
- **URL**: https://whisperx.ai/en/intel/70757