보안 업데이트
Node.js 취약성은 Express에 직접 영향을 미칩니다. 따라서 Node.js 취약성을 항상 주시해야 하며, 반드시 안정적인 최신 버전의 Node.js를 사용해야 합니다.
아래의 목록에는 지정된 버전 업데이트에서 수정된 Express 취약성이 열거되어 있습니다.
Note
If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures.
4.x
- 4.21.2
- The dependency
path-to-regexphas been updated to address a vulnerability.
- The dependency
- 4.21.1
- The dependency
cookiehas been updated to address a vulnerability, This may affect your application if you useres.cookie.
- The dependency
- 4.20.0
- Fixed XSS vulnerability in
res.redirect(advisory, CVE-2024-43796). - The dependency
serve-statichas been updated to address a vulnerability. - The dependency
sendhas been updated to address a vulnerability. - The dependency
path-to-regexphas been updated to address a vulnerability. - The dependency
body-parserhas been updated to addres a vulnerability, This may affect your application if you had url enconding activated.
- Fixed XSS vulnerability in
- 4.19.0, 4.19.1
- Fixed open redirect vulnerability in
res.locationandres.redirect(advisory, CVE-2024-29041).
- Fixed open redirect vulnerability in
- 4.17.3
- The dependency
qshas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.query,req.body,req.param.
- The dependency
- 4.16.0
- 의존성
forwarded가 발견된 취약점에 따라 업데이트되었습니다.req.host,req.hostname,req.ip,req.ips,req.protocol을 사용하는 애플리케이션에 영향을 끼칠 수 있습니다. - 의존성
mime이 발견된 취약점에 따라 업데이트되었으나, Express에 영향을 끼치지는 않습니다. - 의존성
send가 Node.js 8.5.0의 취약점에 대응하기 위해 업데이트되었습니다. Node.js 버전 8.5.0에서 실행되는 Express에만 영향을 끼칩니다.
- 의존성
- 4.15.5
- 4.15.3
- 의존성
ms가 발견된 취약점에 따라 업데이트되었습니다. 애플리케이션이express.static,res.sendfile,res.sendFile의maxAge옵션에 Untrusted 문자열을 입력받고 있으면 영향을 끼칠 수 있습니다.
- 의존성
- 4.15.2
- 의존성
qs가 발견된 취약점에 따라 업데이트되었으나, Express에 영향을 끼치지는 않습니다. 4.15.2로 업데이트하는 것을 권장하나, 취약점을 막는 업데이트는 아닙니다..
- 의존성
- 4.11.1
express.static,res.sendfile및res.sendFile의 루트 경로 노출 취약성을 수정했습니다.
- 4.10.7
express.static의 개방된 경로 재지정 취약성을 수정했습니다(보안 권고문, CVE-2015-1164).
- 4.8.8
express.static의 디렉토리 조회 취약성을 수정했습니다(보안 권고문, CVE-2014-6394).
- 4.8.4
- Node.js 0.10 이용 시, 특정한 상황에서
fd누수가 발생할 수 있으며, 이는express.static및res.sendfile에 영향을 미칩니다. 악성 요청은fd누수를 발생시킬 수 있으며, 결국EMFILE오류와 서버 무응답을 초래할 수 있습니다.
- Node.js 0.10 이용 시, 특정한 상황에서
- 4.8.0
- 조회 문자열에서 극단적으로 높은 인덱스를 갖는 스파스 배열은 프로세스가 메모리 부족을 발생시키고 서버에서 충돌이 발생하도록 하는 원인이 될 수 있습니다.
- 극단적인 수준으로 중첩된 조회 문자열 오브젝트는 프로세스가 서버를 차단하고 일시적으로 서버를 무응답 상태로 만드는 원인이 될 수 있습니다.
3.x
Express 3.x은 더 이상 유지보수되지 않습니다.
3.x의 알려진 또는 알려지지 않은 보안 및 성능 문제는 마지막 업데이트(2015년 8월 1일) 이후로 처리되지 않고 있습니다. 최신 버전의 Express를 사용할 것을 강력히 권장합니다.
If you are unable to upgrade past 3.x, please consider Commercial Support Options.
- 3.19.1
express.static,res.sendfile및res.sendFile의 루트 경로 노출 취약성을 수정했습니다.
- 3.19.0
express.static의 개방된 경로 재지정 취약성을 수정했습니다(보안 권고문, CVE-2015-1164).
- 3.16.10
express.static의 디렉토리 조회 취약성을 수정했습니다.
- 3.16.6
- Node.js 0.10 이용 시, 특정한 상황에서
fd누수가 발생할 수 있으며, 이는express.static및res.sendfile에 영향을 미칩니다. 악성 요청은fd누수를 발생시킬 수 있으며, 결국EMFILE오류와 서버 무응답을 초래할 수 있습니다.
- Node.js 0.10 이용 시, 특정한 상황에서
- 3.16.0
- 조회 문자열에서 극단적으로 높은 인덱스를 갖는 스파스 배열은 프로세스가 메모리 부족을 발생시키고 서버에서 충돌이 발생하도록 하는 원인이 될 수 있습니다.
- 극단적인 수준으로 중첩된 조회 문자열 오브젝트는 프로세스가 서버를 차단하고 일시적으로 서버를 무응답 상태로 만드는 원인이 될 수 있습니다.
- 3.3.0
- 지원되지 않는 메소드 대체 시도의 404 응답은 XSS(Cross-site scripting) 공격을 받기 쉬웠습니다.