Actualización de seguridad
Las vulnerabilidades de Node.js afectan directamente a Express. Por lo tanto, vigila Node.js vulnerabilidades y asegúrate de que estás usando la última versión estable de Node.js.
La siguiente lista enumera las vulnerabilidades Express que se corrigieron en la actualización de versión especificada.
Note
Si cree que ha descubierto una vulnerabilidad de seguridad en Express, consulte Seguridad Políticas y procedimientos.
4 x
- 4.21.2
- La dependencia
path-to-regexpha sido actualizada para direccionar un vulnerability.
- La dependencia
- 4.21.1
- La dependencia
cookieha sido actualizada para dirigirse a una vulnerability, Esto puede afectar a tu aplicación si utilizasres.cookie.
- La dependencia
- 4.20.0
- Se corrigió la vulnerabilidad XSS en
res.redirect(advisory, CVE-2024-43796). - La dependencia
serve-staticha sido actualizada para direccionar un vulnerability. - La dependencia
sendha sido actualizada para direccionar un vulnerability. - La dependencia
path-to-regexpha sido actualizada para direccionar un vulnerability. - La dependencia
body-parserha sido actualizada para montar un vulnerability, Esto puede afectar a tu aplicación si tenías activada la conexión url.
- Se corrigió la vulnerabilidad XSS en
- 4.19.0, 4.19.1
- Corregida vulnerabilidad de redirección abierta en
res.locationyres.redirect(advisory, CVE-2024-29041).
- Corregida vulnerabilidad de redirección abierta en
- 4.17.3
- La dependencia
qsha sido actualizada para direccionar un vulnerability. Esto puede afectar a su aplicación si se utilizan las siguientes API:req.query,req.body,req.param.
- La dependencia
- 4.16.0
- La dependencia
forwardedha sido actualizada para direccionar un vulnerability. Esto puede afectar a su aplicación si se utilizan las siguientes API:req.host,req.hostname,req.ip,req.ips,req.protocol. - La dependencia
mimeha sido actualizada para abordar un vulnerability, pero este problema no afecta a Express. - La dependencia
sendha sido actualizada para proporcionar una protección contra una vulnerabilidad de Node.js 8.5.0. Esto sólo afecta a la ejecución de Express en la versión 8.5.0 específica de Node.js.
- La dependencia
- 4.15.5
- La dependencia
debugha sido actualizada para abordar un vulnerability, pero este problema no afecta a Express. - La dependencia
freshha sido actualizada para direccionar un vulnerability. Esto afectará a tu aplicación si se utilizan las siguientes API:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendStatus.
- La dependencia
- 4.15.3
- La dependencia
msha sido actualizada para direccionar un vulnerability. Esto puede afectar a tu aplicación si la entrada de cadena no confiable es pasada a la opciónmaxAgeen las siguientes APIs:express.static,res.sendfile, yres.sendFile.
- La dependencia
- 4.15.2
- La dependencia
qsha sido actualizada para abordar un vulnerability, pero este problema no afecta a Express. Actualizar a 4.15.2 es una buena práctica, pero no es necesario para abordar la vulnerabilidad.
- La dependencia
- 4.11.1
- Se corrigió la vulnerabilidad de revelación de ruta de root en
express.static,res.sendfile, yres.sendFile
- Se corrigió la vulnerabilidad de revelación de ruta de root en
- 4.10.7
- Se corrigió la vulnerabilidad de redirección abierta en
express.static(advisory, CVE-2015-1164).
- Se corrigió la vulnerabilidad de redirección abierta en
- 4.8.8
- Se corrigieron vulnerabilidades de recorrido de directorio en
express.static(advisory , CVE-2014-6394).
- Se corrigieron vulnerabilidades de recorrido de directorio en
- 4.8.4
- Node.js 0.10 puede filtrar
fds en ciertas situaciones que afectanexpress.staticyres.sendfile. Las peticiones maliciosas podrían causar quefds se filtrara y eventualmente llevar aEMFILEerrores y la falta de respuesta del servidor.
- Node.js 0.10 puede filtrar
- 4.8.0
- Las matrices Sparse que tienen índices extremadamente altos en la cadena de consultas podrían causar que el proceso se quedara sin memoria y cayera el servidor.
- Los objetos de cadena de consulta anidados pueden causar que el proceso bloquee y haga que el servidor no responda temporalmente.
3.x
Express 3.x está END-OF-LIFE Y NINGUNA LONGERA MAINTADA
Los problemas de seguridad y rendimiento conocidos y desconocidos en 3.x no han sido abordados desde la última actualización (1 de agosto de 2015). Es altamente recomendable utilizar la última versión de Express.
Si no puedes actualizar más allá de 3.x, por favor considera Opciones de Soporte Comercial.
- 3.19.1
- Se corrigió la vulnerabilidad de revelación de ruta de root en
express.static,res.sendfile, yres.sendFile
- Se corrigió la vulnerabilidad de revelación de ruta de root en
- 3.19.0
- Se corrigió la vulnerabilidad de redirección abierta en
express.static(advisory, CVE-2015-1164).
- Se corrigió la vulnerabilidad de redirección abierta en
- 3.16.10
- Se corrigieron vulnerabilidades de recorrido de directorio en
express.static.
- Se corrigieron vulnerabilidades de recorrido de directorio en
- 3.16.6
- Node.js 0.10 puede filtrar
fds en ciertas situaciones que afectanexpress.staticyres.sendfile. Las peticiones maliciosas podrían causar quefds se filtrara y eventualmente llevar aEMFILEerrores y la falta de respuesta del servidor.
- Node.js 0.10 puede filtrar
- 3.16.0
- Las matrices Sparse que tienen índices extremadamente altos en la cadena de consultas podían causar que el proceso se quedara sin memoria y cayera el servidor.
- Los objetos de cadena de consulta anidados pueden causar que el proceso bloquee y haga que el servidor no responda temporalmente.
- 3.3.0
- La respuesta 404 de un intento de anulación de método no soportado era susceptible a ataques de cross-site scripting.