セキュリティの更新
Node.js の脆弱性は Express に直接影響します。 そのため、Node.js 脆弱性を監視する と最新の 安定版の Node.js を使用していることを確認してください。
以下のリストは、指定されたバージョンアップで修正された Express の脆弱性を列挙しています。
Express でセキュリティ上の脆弱性を発見したと思われる場合は、Security ポリシーと手順をご覧ください。
4.x
- 4.21.2
- 依存関係の
path-to-regexpが vulnerability に対応するように更新されました。
- 依存関係の
- 4.21.1
- 依存関係の
cookieが vulnerability アドレスに更新されました。res.cookieを使用すると、アプリケーションに影響する可能性があります。
- 依存関係の
- 4.20.0
res.redirect(advisory, CVE-2024-43796)におけるXSSの脆弱性の修正。- 依存関係の
serve-staticが vulnerability に更新されました。 - 依存関係の
sendが vulnerability に更新されました。 - 依存関係の
path-to-regexpが vulnerability に対応するように更新されました。 - 依存関係の
body-parserが vulnerability を追加するように更新されました。これはURLエンコンデーションが有効になっている場合、アプリケーションに影響する可能性があります。
- 4.19.0, 4.19.1
res.locationとres.redirect(advisory, CVE-2024-29041のオープンリダイレクトの脆弱性を修正しました。
- 4.17.3
- 依存関係の
qsが vulnerability に更新されました。req.query、req.body、req.paramという以下のAPIを使用すると、アプリケーションに影響を与える可能性があります。
- 依存関係の
- 4.16.0
- 依存関係の
forwardedが vulnerability に更新されました。 以下の API が使用されている場合、アプリケーションに影響を与える可能性があります:req.host、req.hostname、req.ips、req.protocol。 - 依存関係の
mimeが vulnerability 宛先に更新されましたが、この問題は Express には影響しません。 - 依存関係の
sendが更新され、Node.js 8.5.0 脆弱性に対する保護が提供されました。 これは、Express が特定の Node.js バージョン 8.5.0 で実行されることにのみ影響します。
- 依存関係の
- 4.15.5
- 依存関係の
debugが vulnerability アドレスに更新されましたが、この問題は Express には影響しません。 - 依存関係の
freshが vulnerability に更新されました。express.static、req.fresh、res.json、res.json、res.send、res.send、res.sendFile、res.sendFile、res.sendStatusなどのAPIが使用されると、アプリケーションに影響します。
- 依存関係の
- 4.15.3
- 依存関係の
msが vulnerability に更新されました。 信頼されていない文字列が次の API でmaxAgeオプションに渡されると、アプリケーションに影響を与える可能性があります。express.static、res.sendfile、res.sendFileです。
- 依存関係の
- 4.15.2
- 依存関係
qsが [vulnerability](https://snyk.io/vuln/npm:qs:20170213)アドレスに更新されましたが、この問題はExpressには影響しません。 4.15.2 へのアップデートは良い方法ですが、脆弱性に対処する必要はありません。
- 依存関係
- 4.11.1
express.static、res.sendfile、res.sendFileにおけるルートパス開示の脆弱性を修正しました。
- 4.10.7
express.static(advisory, CVE-2015-1164のオープンリダイレクトの脆弱性を修正しました。
- 4.8.8
express.static(advisory , CVE-2014-6394のディレクトリトラバーサルの脆弱性を修正しました。
- 4.8.4
- Node.js 0.10 は、
express.staticとres.sendfileに影響を与える特定の状況でfdをリークできます。 悪意のある要求はfdがリークし、最終的にはEMFILEエラーとサーバーの応答性が低下する可能性があります。
- Node.js 0.10 は、
- 4.8.0
- クエリ文字列に非常に高いインデックスを持つ疎行列は、プロセスがメモリ不足になり、サーバーがクラッシュする可能性があります。
- 非常にネストされたクエリ文字列オブジェクトは、プロセスをブロックし、サーバーが一時的に応答しないようにする可能性があります。
3.x
エクスプレス 3.x is END-OF-LIFE and no longer maintained
3.x における既知のセキュリティとパフォーマンスの問題は、前回のアップデート(2015年8月1日)から解決されていません。 最新版のExpressをご利用いただくことを強くお勧めします。
3.x以降のアップグレードができない場合は、Commercial Support Optionsをご検討ください。
- 3.19.1
express.static、res.sendfile、res.sendFileにおけるルートパス開示の脆弱性を修正しました。
- 3.19.0
express.static(advisory, CVE-2015-1164のオープンリダイレクトの脆弱性を修正しました。
- 3.16.10
express.staticにおけるディレクトリトラバーサルの脆弱性を修正しました。
- 3.16.6
- Node.js 0.10 は、
express.staticとres.sendfileに影響を与える特定の状況でfdをリークできます。 悪意のある要求はfdがリークし、最終的にはEMFILEエラーとサーバーの応答性が低下する可能性があります。
- Node.js 0.10 は、
- 3.16.0
- クエリ文字列のインデックスが非常に高いスパース配列は、プロセスがメモリ不足になり、サーバーがクラッシュする可能性があります。
- 非常にネストされたクエリ文字列オブジェクトは、プロセスをブロックし、サーバーが一時的に応答しないようにする可能性があります。
- 3.3.0
- サポートされていないメソッドのオーバーライドを試みた 404 応答は、クロスサイトスクリプティング攻撃の影響を受けやすくなりました。