8月5日、AngularチームはAngular Universalに影響を与えるXSSの問題を発表した。

AngularチームはCritters npmパッケージによるXSS（クロスサイトスクリプティング）の脆弱性について公表している。この問題はAngular Universal 16.1.0–16.1.1に影響を及ぼすものであり、Crittersのバージョン0.0.20に修正が含まれていると報告している。また、この問題については悪用の具体例は確認されていないとしている。

Critters npmパッケージの脆弱性が判明

Angularチームは、Critters npmパッケージに存在するバグにより、クロスサイトスクリプティング（XSS）の脆弱性が発生することを認識していると述べている。この問題は、Crittersの0.0.17、0.0.18、0.0.19のバージョンに影響を及ぼすが、0.0.20のバージョンでは修正が施されている。さらに、このバグによってAngular Universalの特定バージョン（16.1.0–16.1.1、特に@nguniversal/common）も影響を受けていたが、16.1.2のバージョンで修正されていることを確認している。

サーバーサイドレンダリング（SSR）とビルド時のプリレンダリングに影響

このバグの影響を受けるのは、サーバーサイドレンダリング（SSR）にAngular Universalを使用しているアプリケーションだ。また、ビルド時のプリレンダリングを行っているアプリケーションも影響を受ける可能性があるが、その場合はプリレンダリングされたHTMLにユーザーが作成したデータを含めている必要がある。ただし、現時点ではこのバグが実際に悪用されている証拠は確認されていない。

CrittersとAngular Universalのバージョンを即座に更新を

影響を受ける可能性がある場合は、CrittersとAngular Universalのバージョンを即座に更新することが強く推奨されている。Angular Universalを使用していないアプリケーションは影響を受けないとされている。ただし、Angular CLIは非UniversalアプリケーションのビルドプロセスでCrittersを使用しているが、このバグを悪用するためには既にアクセス権を持つ悪意のあるアクターがアプリケーションのソースコードを変更する必要がある。

Angularチームは、この問題に関する詳細な調査の結果を近日中にブログ記事として公開する予定だ。問題の解決に向けて、状況を把握しておくことが重要だ。

詳しい内容は「Notice of XSS issue affecting Angular Universal 16.1.0–16.1.1」を参照してください。