CVE-2024-33665

‍复制步骤：

在输入字段中注入恶意代码，然后由翻译指令进行处理，即可触发该漏洞。在 StackBlitz上提供了演示这一漏洞的概念验证，展示了如何使用 angular-translate 将恶意脚本引入系统。

解决问题：

尽管 AngularJS 的 angular-translate 已达到其生命周期的末期，HeroDevs 还是加紧提供了一个关键补丁来解决这个漏洞。此补丁可确保输入键得到正确的消毒，从而阻止通过此载体进行 XSS 攻击的可能性。

为AngularJS Essentials Never-Ending Support付费的HeroDevs客户在最新NES版本的angular-translate（angularjs-essentials@1.8.3-angular-translate-2.20.1）中收到了该问题的修复程序。如果您尚未安装最新版本或需要帮助，请联系我们的支持团队寻求帮助。

对于所有其他 Angular-translate 用户，请考虑从 Angular-translate 快速迁移。或者，请联系我们，了解如何轻松接收安全的 AngularJS更新 的安全更新。

学习与预防

为了进一步帮助社区，HeroDevs 提供了详细的指导，以防止今后出现类似的漏洞。主要策略包括对数据输入进行消毒，尤其是那些与翻译指令等关键组件交互的数据输入。我们还建议定期审查和更新第三方库，以便在潜在的安全漏洞被利用之前抓住并解决它们。

结论

CVE-2024-33665 提醒我们，即使软件已经达到报废年限，也必须对其进行维护并确保其安全。有了积极的措施和社区的支持，我们就能确保为所有用户提供一个更安全的数字环境。

如果您有兴趣获得针对 AngularJS和支持库的安全性、合规性和兼容性支持，请就 Angular 联系我们。

确保安全，并使用 HeroDevs 提供的最新补丁更新您的系统。如需了解更多见解和安全更新，请继续关注我们的博客。

资源

Angular Translate NPM 软件包： npmjs.com/package/angular-translate

GitHub 存储库： github.com/angular-translate/angular-translate

安全问题报告： github.com/angular-translate/angular-translate/issues/1418

‍