Sicherheitsupdates
Verwundbarkeiten von Node.js wirken sich direkt auf Express aus. Daher achte auf Node.js Verwundbarkeit und stelle sicher, dass du die neueste stabile Version von Node.js verwendest.
Die folgende Liste listet die Express Verwundbarkeiten auf, die in der angegebenen Versionsaktualisierung behoben wurden.
Note
Wenn Sie glauben, dass Sie eine Sicherheitslücke in Express entdeckt haben, lesen Sie bitte Sicherheits- Richtlinien und Prozeduren.
4,x
- 4.21.2
- Die Abhängigkeit
path-to-regexpwurde aktualisiert, um eine [vulnerability]zu adressieren (https://github.com/pillarjs/path-to-regexp/security/advisories/GHSA-rhx6-c78j-4q9w).
- Die Abhängigkeit
- 4.21.1
- Die Abhängigkeit
cookiewurde aktualisiert, um eine vulnerability zu adressieren. Dies kann deine Anwendung beeinflussen, wenn dures.cookieverwendest.
- Die Abhängigkeit
- 4.20.0
- XSS-Verwundbarkeit in
res.redirectbehoben (advisory, CVE-2024-43796). - Die Abhängigkeit
serve-staticwurde aktualisiert, um eine [vulnerability]zu adressieren (https://github.com/advisories/GHSA-cm22-4g7w-348p). - Die Abhängigkeit
sendwurde aktualisiert, um eine [vulnerability]zu adressieren (https://github.com/advisories/GHSA-m6fv-jmcg-4jfg). - Die Abhängigkeit
path-to-regexpwurde aktualisiert, um eine [vulnerability]zu adressieren (https://github.com/pillarjs/path-to-regexp/security/advisories/GHSA-9wv6-86v2-598j). - Die Abhängigkeit
body-parserwurde aktualisiert, um einen vulnerability, dies kann deine Anwendung beeinflussen, wenn du url enconding aktiviert hast.
- XSS-Verwundbarkeit in
- 4.19.0, 4.19.1
- Behoben der offenen Weiterleitungsverwundbarkeit in
res.locationundres.redirect(advisory, CVE-2024-29041).
- Behoben der offenen Weiterleitungsverwundbarkeit in
- 4.17.3
- Die Abhängigkeit
qswurde aktualisiert, um eine [vulnerability]zu adressieren (https://github.com/advisories/GHSA-hrpp-h998-j3pp). Dies kann Ihre Anwendung beeinflussen, wenn die folgenden APIs verwendet werden:req.query,req.body,req.param.
- Die Abhängigkeit
- 4.16.0
- Die Abhängigkeit
forwardedwurde aktualisiert, um eine [vulnerability]Adresse zu senden (https://npmjs.com/advisories/527). Dies kann Ihre Anwendung beeinflussen, wenn die folgenden APIs verwendet werden:req.host,req.hostname,req.ip,req.ips,req.protocol. - Die Abhängigkeit
mimewurde aktualisiert, um eine vulnerability, aber dieses Problem wirkt sich nicht auf Express aus. - Die Abhängigkeit
sendwurde aktualisiert, um einen Schutz gegen eine Node.js 8.5.0 Verwundbarkeit zu bieten. Dies wirkt sich nur auf die Ausführung von Express auf der speziellen Node.js Version 8.5.0 aus.
- Die Abhängigkeit
- 4.15.5
- Die Abhängigkeit
debugwurde aktualisiert, um eine vulnerability, aber dieses Problem wirkt sich nicht auf Express aus. - Die Abhängigkeit
freshwurde aktualisiert, um eine [vulnerability]zu adressieren (https://npmjs.com/advisories/526). Dies wird deine Anwendung beeinflussen, wenn die folgenden APIs verwendet werden:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendStatus.
- Die Abhängigkeit
- 4.15.3
- Die Abhängigkeit
mswurde aktualisiert, um eine [vulnerability]zu adressieren (https://snyk.io/vuln/npm:ms:20170412). Dies kann Ihre Anwendung beeinflussen, wenn die nicht vertrauenswürdige Eingabe an die OptionmaxAgein der folgenden APIs übergeben wird:express.static,res.sendfileundres.sendFile.
- Die Abhängigkeit
- 4.15.2
- Die Abhängigkeit
qswurde aktualisiert, um eine vulnerability, aber dieses Problem wirkt sich nicht auf Express aus. Die Aktualisierung auf 4.15.2 ist eine gute Praxis, aber nicht erforderlich, um die Verwundbarkeit zu beheben.
- Die Abhängigkeit
- 4.11.1
- Verwundbarkeit der Root-Pfad-Offenlegung in
express.static,res.sendfileundres.sendFilebehoben
- Verwundbarkeit der Root-Pfad-Offenlegung in
- 4.10.7
- Behoben der offenen Weiterleitungsverwundbarkeit in
express.static(advisory, CVE-2015-1164).
- Behoben der offenen Weiterleitungsverwundbarkeit in
- 4.8.8
- Fehlerbehebung von Verzeichnisüberschreitungen in
express.static(advisory , CVE-2014-6394).
- Fehlerbehebung von Verzeichnisüberschreitungen in
- 4.8.4
- Node.js 0.10 kann
fds in bestimmten Situationen lecken, dieexpress.staticundres.sendfilebetreffen. Schädliche Anfragen könntenfds zu Leck führen und letztendlich zuEMFILEFehlern und Serverunreaktion.
- Node.js 0.10 kann
- 4.8.0
- Sparse Arrays mit extrem hohen Indizes im Query-String könnten dazu führen, dass der Prozess aus dem Speicher geht und der Server abstürzt.
- Extrem verschachtelte Query-String-Objekte könnten dazu führen, dass der Prozess blockiert und der Server vorübergehend nicht reagiert.
3,x
Express 3.x IST END-OF-OF-LEBEN UND KEINE LIEFERANTEN
Bekannte und unbekannte Sicherheits- und Leistungsprobleme in 3.x wurden seit dem letzten Update (1. August 2015) nicht behoben. Es wird dringend empfohlen, die neueste Version von Express zu verwenden.
Wenn du nicht in der Lage bist nach 3.x zu aktualisieren, erwäge bitte Kommerzielle Support-Optionen.
- 3.19.1
- Verwundbarkeit der Root-Pfad-Offenlegung in
express.static,res.sendfileundres.sendFilebehoben
- Verwundbarkeit der Root-Pfad-Offenlegung in
- 3.19.0
- Behoben der offenen Weiterleitungsverwundbarkeit in
express.static(advisory, CVE-2015-1164).
- Behoben der offenen Weiterleitungsverwundbarkeit in
- 3.16.10
- Fehlerbehebung von Verzeichnisüberschreitungen in
express.static.
- Fehlerbehebung von Verzeichnisüberschreitungen in
- 3.16.6
- Node.js 0.10 kann
fds in bestimmten Situationen lecken, dieexpress.staticundres.sendfilebetreffen. Schädliche Anfragen könntenfds zu Leck führen und letztendlich zuEMFILEFehlern und Serverunreaktion.
- Node.js 0.10 kann
- 3.16.0
- Sparse Arrays, die extrem hohe Indizes im Query-String haben, könnten dazu führen, dass der Prozess aus dem Speicher geht und den Server abstürzt.
- Extrem verschachtelte Query-String-Objekte könnten dazu führen, dass der Prozess blockiert und der Server vorübergehend nicht reagiert.
- 3.3.0
- Die 404-Reaktion eines nicht unterstützten Methodenversuchs war anfällig für Site-übergreifende Skripting-Attacken.