@angular/core e @angular/compiler: correção de vulnerabilidade de XSS em elementos com namespace
Advisory de segurança: pacotes @angular/compiler e @angular/core possuem vulnerabilidade que permite bypass da sanitização de elementos e atributos via manipulação de namespace.
O que mudou
Advisory de segurança: pacotes @angular/compiler e @angular/core possuem vulnerabilidade que permite bypass da sanitização de elementos e atributos via manipulação de namespace. Elementos script com namespace (ex.: <svg:script>) não são identificados corretamente, e o mapeamento de contexto de segurança para atributos em elementos com namespace é inconsistente, levando a potencial XSS.
Quem isso afeta
Qualquer aplicação Angular que compile templates controlados pelo usuário em tempo de execução ou dependa da sanitização de elementos/atributos com namespace.
O que fazer hoje
Atualize @angular/core e @angular/compiler para versões corrigidas: 22.0.0-rc.2, 21.2.15, 20.3.22 ou 19.2.23.