Aggiornamenti di sicurezza
Le vulnerabilità di Node.js influenzano direttamente Express. Pertanto, tieni un orologio su Node.js vulnerabilità e assicurati di utilizzare l’ultima versione stabile di Node.js.
L’elenco di seguito elenca le vulnerabilità Express che sono state risolte nell’aggiornamento della versione specificata.
Note
If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures.
4.x
- 4.21.2
- La dipendenza
path-to-regexpè stata aggiornata per affrontare una vulnerability.
- La dipendenza
- 4.21.1
- Il
cookiedi dipendenza è stato aggiornato per indirizzare un vulnerability, Questo può influenzare la tua applicazione se usires.cookie.
- Il
- 4.20.0
- Corretta vulnerabilità XSS in
res.redirect(advisory, CVE-2024-43796). - La dipendenza
serve-staticè stata aggiornata per affrontare una vulnerability. - La dipendenza
sendè stata aggiornata per indirizzare una vulnerability. - La dipendenza
path-to-regexpè stata aggiornata per affrontare una vulnerability. - La dipendenza
body-parserè stata aggiornata per aggiungere una vulnerability, Questo può influenzare la tua applicazione se l’url è stato attivato .
- Corretta vulnerabilità XSS in
- 4.19.0, 4.19.1
- Risolto la vulnerabilità di reindirizzamento aperto in
res.locationeres.redirect(advisory, CVE-2024-29041).
- Risolto la vulnerabilità di reindirizzamento aperto in
- 4.17.3
- La dipendenza
qsè stata aggiornata per indirizzare una vulnerability. Questo può influenzare la tua applicazione se vengono utilizzate le seguenti API:req.query,req.body,req.param.
- La dipendenza
- 4.16.0
- La dipendenza
inoltrataè stata aggiornata per indirizzare una vulnerability. Questo può influenzare la tua applicazione se vengono utilizzate le seguenti API:req.host,req.hostname,req.ip,req.ips,req.protocol. - La dipendenza
mimeè stata aggiornata per affrontare una vulnerability, ma questo problema non influisce su Express. - La dipendenza
sendè stata aggiornata per fornire una protezione contro una vulnerabilità Node.js 8.5.0. Questo influenza solo l’esecuzione di Express sulla specifica versione di Node.js 8.5.0.
- La dipendenza
- 4.15.5
- Il
debugdella dipendenza è stato aggiornato per affrontare una vulnerability, ma questo problema non influisce su Express. - La dipendenza
freshè stata aggiornata per affrontare una vulnerability. Questo influenzerà la tua applicazione se vengono utilizzate le seguenti API:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendStatus.
- Il
- 4.15.3
- Il
msdi dipendenza è stato aggiornato per indirizzare un vulnerability. Questo può influenzare la tua applicazione se l’input di stringa non attendibile viene passato all’opzionemaxAgenelle seguenti API:express.static,res.sendfile, eres.sendFile.
- Il
- 4.15.2
- La dipendenza
qsè stata aggiornata per affrontare una vulnerability, ma questo problema non influisce su Express. Aggiornare al 4.15.2 è una buona pratica, ma non è necessario per affrontare la vulnerabilità.
- La dipendenza
- 4.11.1
- Risolto la vulnerabilità alla divulgazione del percorso di root in
express.static,res.sendfile, eres.sendFile
- Risolto la vulnerabilità alla divulgazione del percorso di root in
- 4.10.7
- Risolto la vulnerabilità di reindirizzamento aperto in
express.static(advisory, CVE-2015-1164).
- Risolto la vulnerabilità di reindirizzamento aperto in
- 4.8.8
- Vulnerabilità delle directory corrette in
express.static(advisory , CVE-2014-6394).
- Vulnerabilità delle directory corrette in
- 4.8.4
- Node.js 0.10 può perdere
fds in alcune situazioni che influenzanoexpress.staticeres.sendfile. Le richieste dannose potrebbero causare perdite difds e alla fine portare a erroriEMFILEe il server non reattività.
- Node.js 0.10 può perdere
- 4.8.0
- Gli array sparsi che hanno indici estremamente alti nella stringa di interrogazione potrebbero causare il processo di esaurimento della memoria e crash del server.
- Oggetti di stringa di query estremamente annidati potrebbero causare il blocco del processo e rendere il server non reattivo temporaneamente.
3.x
Express 3.x È END-OF-LIFE E NON È MANTENENTE LONGERI
I problemi noti e sconosciuti di sicurezza e prestazioni in 3.x non sono stati affrontati dall’ultimo aggiornamento (1 agosto 2015). Si consiglia vivamente di utilizzare l’ultima versione di Express.
Se non sei in grado di aggiornare il precedente 3.x, ti preghiamo di considerare Opzioni di Supporto Commerciale.
- 3.19.1
- Risolto la vulnerabilità alla divulgazione del percorso di root in
express.static,res.sendfile, eres.sendFile
- Risolto la vulnerabilità alla divulgazione del percorso di root in
- 3.19.0
- Risolto la vulnerabilità di reindirizzamento aperto in
express.static(advisory, CVE-2015-1164).
- Risolto la vulnerabilità di reindirizzamento aperto in
- 3.16.10
- Vulnerabilità delle directory corrette in
express.static.
- Vulnerabilità delle directory corrette in
- 3.16.6
- Node.js 0.10 può perdere
fds in alcune situazioni che influenzanoexpress.staticeres.sendfile. Le richieste dannose potrebbero causare perdite difds e alla fine portare a erroriEMFILEe il server non reattività.
- Node.js 0.10 può perdere
- 3.16.0
- Gli array sparsi che hanno indici estremamente alti nella stringa di query potrebbero causare il processo di esaurimento della memoria e crash del server.
- Oggetti di stringa di query estremamente annidati potrebbero causare il blocco del processo e rendere il server non reattivo temporaneamente.
- 3.3.0
- La risposta 404 di un tentativo di override metodo non supportato era suscettibile di attacchi di scripting cross-site.