つみかさね
A

Angular v21.2.14

リリース日: 2026-05-22データソース: GitHub Releases, npm, endoflife.date
影響度スコア
35/ 100影響度: 中
Breaking Changes0/40
新機能0/25
バグ修正15/20
セキュリティ12/15
依存関係3/15

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1テスト環境でng update @angular/core@21.2.14を実行
  2. 2テンプレートの動作確認(特にSVG要素を使用している箇所)
  3. 3本番環境に適用
  4. 4動作確認を実施

影響対象

Angular利用者テンプレートでSVGを使用するプロジェクト

補足

  • -破壊的変更はなく安全にアップデート可能です
  • -Angular 19利用者はEOL済みのためv20以降への移行を推奨します
AngularセキュリティコンパイラXSSサニタイザー

この変更が意味すること

Angular v21.2.14は、コンパイラとコアモジュールのバグ修正を含むリリースです。このリリースにはセキュリティ観点で重要な修正が複数含まれており、XSS(クロスサイトスクリプティング)関連の攻撃ベクターを閉じる対応が行われています。

特に注目すべきは、テンプレートコンパイル時に名前空間付きSVG scriptエレメントをサニタイズするコンパイラ修正と、scriptエレメントを動的コンポーネントのホストとして拒否するコア修正です。これらはいずれも悪意あるスクリプト実行の防止を目的としています。また、リソースURLサニタイザーの大文字小文字区別の統一により、サニタイザーの迂回を防ぐ対応もされています。

Angular 22のRC(v22.0.0-rc.1)がnext dist-tagとして公開されており、Angular 22のリリースが近づいています。

主な変更点

compiler: テンプレート内の名前空間付きSVG scriptサニタイズ

テンプレートコンパイル時に、名前空間付きの<svg:script>エレメントがサニタイズされるように修正されました。この修正により、SVG名前空間を悪用したスクリプトインジェクションのリスクが低減します。

core: リソースURLサニタイザーの大文字小文字区別を統一

リソースURLのサニタイズ処理で大文字小文字が区別されない場合がある問題を修正しました。これにより、大文字混在URLを使ったサニタイザー迂回の防止が強化されます。

core: scriptエレメントを動的コンポーネントホストとして拒否

<script>エレメントを動的コンポーネントのホストとして使用しようとする操作を拒否するよう修正されました。動的コンポーネントのホスト要素に<script>を指定することで悪意あるコードが実行される可能性を塞ぎます。

core: void @Outputマイグレーション時の不要コメント挿入を修正

ng updateによるvoid @Outputの自動マイグレーション実行時に不要なコメントが挿入されることがあった問題を修正しました。開発体験の改善です。

EOL / サポート状況

サイクル最新バージョンサポート終了日
2222.0.0-rc.1— (RC段階)
2121.2.142027-05-19
2020.3.212026-11-28
1919.2.222026-05-19 ❌ EOL
1818.2.142025-11-21 ❌ EOL

Angular 19は2026-05-19(3日前)にEOLとなりました。Angular 19をご利用の場合は、v20またはv21へのアップグレードを推奨します。

開発者への影響

  1. テンプレートでSVG要素を動的に扱うプロジェクト: 名前空間付きSVG scriptの扱いが変わるため、既存テンプレートの動作を確認してください。
  2. 動的コンポーネントを利用するプロジェクト: <script>をホストに使用している実装がある場合は修正が必要になる可能性があります(通常そのような用途はありません)。
  3. void @Outputの移行を行ったプロジェクト: マイグレーションスクリプトの不要コメントが修正されています。
  4. Angular 19利用者: EOL済みのため、速やかにv20以降へのアップグレードを推奨します。

アップデート方法

ng update @angular/core@21.2.14 @angular/cli@21.2.14

# または npm で直接
npm install @angular/core@21.2.14 @angular/cli@21.2.14

データソース: GitHub Releases API, endoflife.date
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

アップデート判断

早めのアップデートを推奨

アップデートすべき場合

  • Angular 21系を利用している
  • テンプレートでSVG要素を動的に扱っている
  • 動的コンポーネントを利用している

様子見でよい場合

  • セキュリティ要件が低く、テンプレートにユーザー入力が含まれない

EOL / サポート状況

Angular 21ActiveEOL: 2027-05-19
Angular 20ActiveEOL: 2026-11-28
Angular 19End of LifeEOL: 2026-05-19
Angular 18End of LifeEOL: 2025-11-21
Angular 17End of LifeEOL: 2025-05-15
Xでシェアはてブ
データソース: GitHub Releases API, npm Registry, endoflife.date (MIT License), NVD (NIST)
AI解説は Claude API により自動生成されています。正確性については原文リリースノートをご確認ください。