发布日期：2025-11-26
更新日期：2025-12-24

受影响系统：

Angular Angular ＜ 21.0.1
Angular Angular ＜ 20.3.14
Angular Angular ＜ 19.2.16

描述：

---

CVE(CAN) ID: CVE-2025-66035

Angular是Angular开源的一个开发平台，用于使用Typescript / JavaScript和其他语言构建移动和桌面Web应用程序。
Angular 19.2.16之前版本、20.3.14之前版本和21.0.1之前版本存在应用程序逻辑凭证泄漏漏洞，该漏洞源于HttpClient的同源判断逻辑缺陷，其未将协议相对URL（//）识别为跨域请求，导致XSRF令牌被误添加至请求头，攻击者可利用该漏洞窃取XSRF令牌，将其泄漏至自身控制的恶意域名中。

<**>

建议：

---

厂商补丁：

Angular
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/angular/angular/releases

浏览次数：116
严重程度：0（网友投票）