Atualizações de segurança
vulnerabilidades do Node.js afetam diretamente o Express. Portanto, mantenha um relógio no Node.js vulnerabilidades e certifique-se que está usando a última versão estável do Node.js.
A lista abaixo enumera as vulnerabilidades Express que foram corrigidas na atualização da versão especificada.
Se acredita que descobriu uma vulnerabilidade de segurança em Express, consulte Segurança Políticas e Procedimentos.
4.x
- 4.21.2
- A dependência
path-to-regexpfoi atualizada para o endereço de um vulnerability.
- A dependência
- 4.21.1
- A dependência
cookiefoi atualizada para o endereço vulnerability, isso pode afetar sua aplicação se você usarres.cookie.
- A dependência
- 4.20.0
- Vulnerabilidade XSS corrigida em
res.redirect(advisory, CVE-2024-43796). - A dependência
serve-staticfoi atualizada para o endereço vulnerability. - A dependência
enviarfoi atualizada para o endereço vulnerability. - A dependência
path-to-regexpfoi atualizada para o endereço de um vulnerability. - A dependência
body-parserfoi atualizada para adicionar um vulnerability, isso pode afetar sua aplicação se você tiver uma url ativa de codificação.
- Vulnerabilidade XSS corrigida em
- 4.19.0, 4.19.1
- Corrigido a vulnerabilidade de redirecionamento aberto em
res.locationeres.redirect(advisory, CVE-2024-29041).
- Corrigido a vulnerabilidade de redirecionamento aberto em
- 4.17.3
- A dependência
qsfoi atualizada para o endereço vulnerability. Isso pode afetar sua aplicação se as seguintes APIs forem usadas:req.query,req.body,req.param.
- A dependência
- 4.16.0
- A dependência
encaminhadofoi atualizada para o endereço vulnerability. Isso pode afetar sua aplicação se as seguintes APIs forem usadas:req.host,req.hostname,req.ip,req.ips,req.protocol. - A dependência
mimefoi atualizada para endereçar um vulnerability, mas esta issue não afeta o Express. - A dependência
sendfoi atualizada para fornecer uma proteção contra uma Node.js 8.5.0 vulnerabilidade. Isso só afeta a execução do Express na versão 8.5.0 específica do Node.js.
- A dependência
- 4.15.5
- A dependência
debugfoi atualizada para endereçar um vulnerability, mas esta issue não afeta o Express. - A dependência
freshfoi atualizada para endereço vulnerability. Isso afetará sua aplicação se as seguintes APIs forem usadas:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendFile,res.sendStatus.
- A dependência
- 4.15.3
- A dependência
msfoi atualizada para endereço vulnerability. Isso pode afetar sua aplicação se entrada de string não confiável for passada para a opçãomaxAgenas seguintes APIs:express.static,res.sendfileeres.sendFile.
- A dependência
- 4.15.2
- A dependência
qsfoi atualizada para endereçar um vulnerability, mas esta issue não afeta o Express. Atualizar para 4.15.2 é uma boa prática, mas não é necessário para resolver a vulnerabilidade.
- A dependência
- 4.11.1
- vulnerabilidade de divulgação de caminhos raiz corrigidos em
express.static,res.sendfile, eres.sendFile
- vulnerabilidade de divulgação de caminhos raiz corrigidos em
- 4.10.7
- Corrigido a vulnerabilidade de redirecionamento aberto em
express.static(advisory, CVE-2015-1164).
- Corrigido a vulnerabilidade de redirecionamento aberto em
- 4.8.8
- Vulnerabilidades de travessia de diretório fixas em
express.static(advisory , CVE-2014-6394).
- Vulnerabilidades de travessia de diretório fixas em
- 4.8.4
- Node.js 0.10 pode vazar
fds em certas situações que afetamexpress.staticeres.sendfile. Solicitações maliciosas podem causar vazamento defds e eventualmente levar a errosEMFILEe servidor sem resposta.
- Node.js 0.10 pode vazar
- 4.8.0
- Matrizes Sparse que possuem índices extremamente altos na cadeia de consulta pode fazer com que o processo fique sem memória e falhe o servidor.
- Objetos de string de consulta extremamente aninhados poderiam fazer com que o processo bloqueasse e tornar o servidor temporariamente não responsivo.
3.x
Expresso 3.x É END-OF-LIFE E NÃO É LONGER MAINTADO
Problemas conhecidos e desconhecidos de segurança e desempenho em 3.x não foram abordados desde a última atualização (1 de agosto de 2015). É altamente recomendado usar a versão mais recente do Express.
Se você não puder atualizar as anteriores 3.x, considere as Opções de Suporte Comercial.
- 3.19.1
- vulnerabilidade de divulgação de caminhos raiz corrigidos em
express.static,res.sendfile, eres.sendFile
- vulnerabilidade de divulgação de caminhos raiz corrigidos em
- 3.19.0
- Corrigido a vulnerabilidade de redirecionamento aberto em
express.static(advisory, CVE-2015-1164).
- Corrigido a vulnerabilidade de redirecionamento aberto em
- 3.16.10
- Vulnerabilidades de transposição de diretório fixas em
express.static.
- Vulnerabilidades de transposição de diretório fixas em
- 3.16.6
- Node.js 0.10 pode vazar
fds em certas situações que afetamexpress.staticeres.sendfile. Solicitações maliciosas podem causar vazamento defds e eventualmente levar a errosEMFILEe servidor sem resposta.
- Node.js 0.10 pode vazar
- 3.16.0
- Matrizes Sparse que possuem índices extremamente altos em cadeia de consulta pode fazer com que o processo fique sem memória e falhe o servidor.
- Objetos de string de consulta extremamente aninhados poderiam fazer com que o processo bloqueasse e tornar o servidor temporariamente não responsivo.
- 3.3.0
- A resposta 404 de uma tentativa de substituição de método não suportado era suscetível a ataques de script entre sites.