Aggiornamenti sulla sicurezza
Le vulnerabilità di Node.js influenzano direttamente Express. Pertanto, verificare sempre le vulnerabilità Node.js e assicurarsi di utilizzare l’ultima versione corretta di Node.js.
L’elenco seguente mostra le vulnerabilità di Express che sono state corrette nell’aggiornamento della versione specificato.
4.x
- 4.11.1
- Risolta la vulnerabilità del rilevamento del percorso root in
express.static
,res.sendfile
eres.sendFile
- Risolta la vulnerabilità del rilevamento del percorso root in
- 4.10.7
- Risolta la vulnerabilità del reindirizzamento aperto in
express.static
(advisory, CVE-2015-1164).
- Risolta la vulnerabilità del reindirizzamento aperto in
- 4.8.8
- Risolte le vulnerabilità trasversali della directory in
express.static
(advisory, CVE-2014-6394).
- Risolte le vulnerabilità trasversali della directory in
- 4.8.4
- Node.js 0.10 può portare alla perdita di
fd
in determinate situazioni che influenzanoexpress.static
eres.sendfile
. Le richieste sospette potrebbero causare una perdita difd
ed eventualmente il verificarsi di erroriEMFILE
e risposte mancate del server.
- Node.js 0.10 può portare alla perdita di
- 4.8.0
- Le matrici sparse che dispongono di indici estremamente elevati nella stringa di query potrebbero causare errori di memoria nel processo e una chiusura anomala del server.
- Gli oggetti di stringa query molto nidificati potrebbero causare un blocco del processo e una mancata risposta da parte del server.
3.x
- 3.19.1
- Risolta la vulnerabilità del rilevamento del percorso root in
express.static
,res.sendfile
eres.sendFile
- Risolta la vulnerabilità del rilevamento del percorso root in
- 3.19.0
- Risolta la vulnerabilità del reindirizzamento aperto in
express.static
(advisory, CVE-2015-1164).
- Risolta la vulnerabilità del reindirizzamento aperto in
- 3.16.10
- Risolte le vulnerabilità trasversali della directory in
express.static
.
- Risolte le vulnerabilità trasversali della directory in
- 3.16.6
- Node.js 0.10 può portare alla perdita di
fd
in determinate situazioni che influenzanoexpress.static
eres.sendfile
. Le richieste sospette potrebbero causare una perdita difd
ed eventualmente il verificarsi di erroriEMFILE
e risposte mancate del server.
- Node.js 0.10 può portare alla perdita di
- 3.16.0
- Le matrici sparse che dispongono di indici estremamente elevati nella stringa di query potrebbero causare errori di memoria nel processo e una chiusura anomala del server.
- Gli oggetti di stringa query molto nidificati potrebbero causare un blocco del processo e una mancata risposta da parte del server.
- 3.3.0
- La risposta 404 di un metodo non supportato sovrascrive un tentativo suscettibili in precedenza ad attacchi XSS (cross-site scripting).