Mises à jour de sécurité
Les vulnérabilités de Node.js affectent directement Express. Therefore, keep a watch on Node.js vulnerabilities and make sure you are using the latest stable version of Node.js.
La liste ci-dessous énumère les vulnérabilités Express qui ont été corrigées dans la mise à jour de version spécifiée.
Si vous pensez avoir découvert une faille de sécurité dans Express, veuillez consulter [Politiques et procédures de sécurité de sécurité [/en/resources/contributing#security-policies-and-procedures).
4.x
- 4.21.2
- La dépendance
path-to-regexpa été mise à jour pour répondre à un vulnerability.
- La dépendance
- 4.21.1
- Le
cookiede dépendance a été mis à jour pour répondre à un vulnerability, cela peut affecter votre application si vous utilisezres.cookie.
- Le
- 4.20.0
- Correction de la vulnérabilité XSS dans
res.redirect(advisory, CVE-2024-43796). - La dépendance
serve-statica été mise à jour pour adresser un vulnerability. - La dépendance
senda été mise à jour pour répondre à un vulnerability. - La dépendance
path-to-regexpa été mise à jour pour répondre à un vulnerability. - La dépendance
body-parsera été mise à jour pour administrer un vulnerability, cela peut affecter votre application si vous aviez l’url en cours d’activation.
- Correction de la vulnérabilité XSS dans
- 4.19.0, 4.19.1
- Correction de la vulnérabilité de redirection ouverte dans
res.locationetres.redirect(advisory, CVE-2024-29041).
- Correction de la vulnérabilité de redirection ouverte dans
- 4.17.3
- La dépendance
qsa été mise à jour pour répondre à un vulnerability. Cela peut affecter votre application si les API suivantes sont utilisées:req.query,req.body,req.param.
- La dépendance
- 4.16.0
- La dépendance
transféréea été mise à jour pour répondre à un vulnerability. Cela peut affecter votre application si les API suivantes sont utilisées:req.host,req.hostname,req.ip,req.ips,req.protocol. - La dépendance
mimea été mise à jour pour répondre à un vulnerability, mais ce problème n’a pas d’impact sur Express. - La dépendance
senda été mise à jour pour fournir une protection contre une vulnérabilité Node.js 8.5.0. Ceci n’affecte que l’exécution Express sur la version spécifique de Node.js 8.5.0.
- La dépendance
- 4.15.5
- La dépendance
debuga été mise à jour pour répondre à un vulnerability, mais ce problème n’a pas d’impact sur Express. - La dépendance
fresha été mise à jour pour répondre à un vulnerability. Cela affectera votre application si les API suivantes sont utilisées:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendStatus.
- La dépendance
- 4.15.3
- La dépendance
msa été mise à jour pour adresser un vulnerability. Cela peut affecter votre application si des chaînes de caractères non fiables sont passées à l’optionmaxAgedans les APIs suivantes:express.static,res.sendfileetres.sendFile.
- La dépendance
- 4.15.2
- La dépendance
qsa été mise à jour pour répondre à un vulnerability, mais ce problème n’a pas d’impact sur Express. Mettre à jour la version 4.15.2 est une bonne pratique, mais pas nécessaire pour résoudre la vulnérabilité.
- La dépendance
- 4.11.1
- Correction de la vulnérabilité de divulgation de chemin racine dans
express.static,res.sendfileetres.sendFile
- Correction de la vulnérabilité de divulgation de chemin racine dans
- 4.10.7
- Correction de la vulnérabilité de redirection ouverte dans
express.static(advisory, CVE-2015-1164).
- Correction de la vulnérabilité de redirection ouverte dans
- 4.8.8
- Correction de vulnérabilités de traversée de répertoire dans
express.static(advisory , CVE-2014-6394).
- Correction de vulnérabilités de traversée de répertoire dans
- 4.8.4
- Node.js 0.10 peut fuir
fds dans certaines situations qui affectentexpress.staticetres.sendfile. Des requêtes malveillantes pourraient provoquer une fuite defds et éventuellement entraîner des erreursEMFILEet une incapacité du serveur.
- Node.js 0.10 peut fuir
- 4.8.0
- Les tableaux d’analyse qui ont des index extrêmement élevés dans la chaîne de requête peuvent faire que le processus est à court de mémoire et planter le serveur.
- Les objets de chaîne de requête extrêmement imbriqués peuvent bloquer le processus et rendre le serveur temporairement inadapté.
3.x
**Express 3.x EST END-OF-LIFE ET AUCUNE LONGER MAINTENUE **
Les problèmes connus et inconnus de sécurité et de performance dans 3.x n’ont pas été résolus depuis la dernière mise à jour (1 août 2015). Il est fortement recommandé d’utiliser la dernière version de Express.
Si vous ne pouvez pas mettre à jour après la version 3.x, veuillez considérer les options de support commercial.
- 3.19.1
- Correction de la vulnérabilité de divulgation de chemin racine dans
express.static,res.sendfileetres.sendFile
- Correction de la vulnérabilité de divulgation de chemin racine dans
- 3.19.0
- Correction de la vulnérabilité de redirection ouverte dans
express.static(advisory, CVE-2015-1164).
- Correction de la vulnérabilité de redirection ouverte dans
- 3.16.10
- Correction de vulnérabilités de traversée de répertoire dans
express.static.
- Correction de vulnérabilités de traversée de répertoire dans
- 3.16.6
- Node.js 0.10 peut fuir
fds dans certaines situations qui affectentexpress.staticetres.sendfile. Des requêtes malveillantes pourraient provoquer une fuite defds et éventuellement entraîner des erreursEMFILEet une incapacité du serveur.
- Node.js 0.10 peut fuir
- 3.16.0
- Des tableaux d’analyse qui ont des index extrêmement élevés dans la chaîne de requête peuvent faire que le processus est à court de mémoire et planter le serveur.
- Les objets de chaîne de requête extrêmement imbriqués peuvent bloquer le processus et rendre le serveur temporairement inadapté.
- 3.3.0
- La réponse 404 d’une tentative de substitution de méthode non supportée était susceptible d’attaques de type cross-site scripting.