Node.js の脆弱性は Express に直接影響を与えます。そのため、Node.js の脆弱性の監視を続けて、必ず、安定した最新バージョンの Node.js を使用してください。
次のリストに、示されているバージョンの更新で修正された Express の脆弱性を列挙します。
注意: Expressでセキュリティ上の脆弱性を発見したと思われる場合は、セキュリティポリシーと手順を参照してください。
forwardedは、脆弱性に対処するために更新されました。これは、req.host、req.hostname、req.ip、req.ips、req.protocolのAPIが使用されている場合、アプリケーションに影響を与える可能性があります。mimeは脆弱性に対処するために更新されましたが、この問題はExpressには影響しません。sendが更新され、Node.js 8.5.0の脆弱性に対する保護が提供されています。これは特定のNode.jsバージョン8.5.0でExpressを実行する場合にのみ影響します。msは、脆弱性に対処するために更新されました。express.static、res.sendfile、およびres.sendFileのAPIで、信頼できない文字列が入力されmaxAgeオプションに渡されると、アプリケーションに影響を与える可能性があります。qsは脆弱性に対処するために更新されましたが、この問題はExpressには影響しません。4.15.2へのアップデートは良い習慣ですが、この脆弱性に対処する必要はありません。express.static、res.sendfile、および res.sendFile のルート・パス開示の脆弱性を修正しました。express.static のオープン・リダイレクトの脆弱性を修正しました (アドバイザリー、CVE-2015-1164)。express.static のディレクトリー・トラバーサルの脆弱性を修正しました (アドバイザリー、CVE-2014-6394)。fd をリークして、express.static および res.sendfile に影響を及ぼす可能性があります。悪意ある要求によって fd がリークされ、最終的に EMFILE エラーが発生したり、サーバーが応答しなくなったりする可能性があります。Express 3.x はもうメンテナンスされていません
3.xの既知および未知のセキュリティ問題は、最終更新(2015年8月1日)以降は対処されていません。3.x系を使用することは安全であると見なされるべきではありません。
express.static、res.sendfile、および res.sendFile のルート・パス開示の脆弱性を修正しました。express.static のオープン・リダイレクトの脆弱性を修正しました (アドバイザリー、CVE-2015-1164)。express.static のディレクトリー・トラバーサルの脆弱性を修正しました。fd をリークして、express.static および res.sendfile に影響を及ぼす可能性があります。悪意ある要求によって fd がリークされ、最終的に EMFILE エラーが発生したり、サーバーが応答しなくなったりする可能性があります。