CryptoJS使用的是AES-CBC。CBC不是一种认证的操作模式，因此它不提供消息完整性/真实性。CBC只提供机密性，而且只有在正确使用时才提供机密性，并且不允许例如填充oracle攻击。
实际上，CBC模式的IV在解密期间仅改变明文的第一块，并且只有那些IV不同的字节。所以所有其余的块如你所期望的那样简单地解密。这是因为IV仅仅是 * 初始化向量 *。在AES块加密之前与明文异或的其他“向量”是先前的密文块。也许最好看看解释操作模式的维基百科页面。
请注意，行：

const encryptedText = CryptoJS.AES.encrypt(text, key, { iv }).toString();

不正确：iv应为命名字段：

const encryptedText = CryptoJS.AES.encrypt(text, key, { iv: iv }).toString();

从这个问题的其他上下文来看，这是否是故意的还不完全清楚。

在加密和解密时，可以在代码中指定 * any * IV，因为IV根本不使用。为什么这样做？
根据密钥材料的类型，CryptoJS使用一个密钥（如果传递了WordArray）或密码（如果传递了字符串）。您传递了字符串，因此密钥材料被解释为密码（这就是为什么key最好被称为password）。在这种情况下，CryptoJS使用密钥派生函数（EVP_BytesToKey()）来导出密钥和IV。* 显式 * 传递的IV被完全忽略。这适用于加密和解密。因此，如果应用密码，不应该使用IV（并且应该删除代码中的IV）。
派生密钥和IV可以从CryptoJS.AES.encrypt()返回的CipherParams对象中选取（s. here）：这里，密钥可以从属性key读取，IV可以从属性iv读取，密文可以从属性ciphertext读取。
当您传递密钥而不是密码时，您还必须传递IV（否则会显示错误消息）。如果您在解密过程中指定了错误的IV，这将导致CBC（默认模式）的第一个块损坏。other answer中描述了详细信息。
如果您想检查这一点，您应该使用Latin1解码（或十六进制编码）而不是UTF-8解码来解码解密数据，因为损坏的数据通常不兼容UTF-8（并且CryptoJS将显示错误消息）。
请注意，短明文和只有一个块大小的密文通常会破坏填充，这反过来又会在取消填充时破坏数据，使数据无法显示。但是，可以通过禁用默认的PKCS#7填充来显示 * padded * 数据：padding: CryptoJS.pad.NoPadding）。
以下代码显示了使用密码（1）、密钥和IV（2）进行加密/解密，以及使用错误的IV解密时CBC的第一个块损坏（3）：

var text = "The quick brown fox jumps over the lazy dog";

// (1) Encryption/Decryption using a password (key and IV implicitly derived via EVP_BytesToKey)
var password = "abc"; // This is a password, not a key!
var iv = CryptoJS.lib.WordArray.random(16);
var encryptedOpenSSLB64 = CryptoJS.AES.encrypt(text, password, {iv: iv}).toString(); // iv ignored (since derived via key derivation) and should be removed!
var decrypted = CryptoJS.AES.decrypt(encryptedOpenSSLB64, password, {iv: iv}); // iv ignored (since derived via key derivation) and should be removed!
console.log(encryptedOpenSSLB64);
console.log(decrypted.toString(CryptoJS.enc.Utf8));

// (2) Encryption/Decryption using a key and an IV
var key = CryptoJS.lib.WordArray.random(32);
var iv = CryptoJS.lib.WordArray.random(16);
var ciphertextB64 = CryptoJS.AES.encrypt(text, key, {iv : iv}).toString(); // iv required!
var decrypted = CryptoJS.AES.decrypt(ciphertextB64, key, {iv : iv}); // iv required!
console.log(ciphertextB64);
console.log(decrypted.toString(CryptoJS.enc.Utf8));

// (3) Corruption of the first block for CBC, if a wrong IV is applied during decryption
var wrongIv = CryptoJS.lib.WordArray.random(16);
var decrypted = CryptoJS.AES.decrypt(ciphertextB64, key, {iv : wrongIv}); // wrong IV corrupts first block for CBC
console.log(decrypted.toString(CryptoJS.enc.Latin1));

<script src="https://cdnjs.cloudflare.com/ajax/libs/crypto-js/4.1.1/crypto-js.min.js"></script>

完整性：在您的代码中，CipherParams对象将使用toString()转换为Base64编码的OpenSSL格式。OpenSSL格式包括Salted__的ASCII编码，后跟8字节salt和实际的密文。由于常量前缀Salted__，Base64编码的数据始终以U2FsdGVkX1开头（与您的密文类似）。
随机盐是在加密过程中生成的。基于盐和密码，使用密钥导出函数来导出密钥和IV。为了能够在解密过程中重构密钥和IV，需要盐。盐不是秘密的。因此它通常与密文连接（与上述OpenSSL格式相同）。salt还包含在CipherParams对象的salt属性中。
如果只使用密钥而不使用密码，则没有salt，toString()只返回ciphertext属性的Base64编码。
CryptoJS.AES.decrypt()需要一个CipherParams对象（在此处为s.）。或者（如代码中所示）可以传递使用toString()创建的Base64编码。这将隐式转换为CipherParams对象。