Обновления безопасности¶
Уязвимости Node.js напрямую влияют на Express. Поэтому следите за уязвимостями Node.js и используйте последнюю стабильную версию Node.js.
Список ниже содержит уязвимости Express, исправленные в соответствующих обновлениях версий.
Если вы считаете, что нашли уязвимость в Express, см. Security Policies and Procedures.
4.x¶
- 4.21.2
- Зависимость
path-to-regexpобновлена для устранения уязвимости.
- Зависимость
- 4.21.1
- Зависимость
cookieобновлена для устранения уязвимости. Это может затронуть приложение, если вы используетеres.cookie.
- Зависимость
- 4.20.0
- Исправлена XSS-уязвимость в
res.redirect(advisory, CVE-2024-43796). - Зависимость
serve-staticобновлена для устранения уязвимости. - Зависимость
sendобновлена для устранения уязвимости. - Зависимость
path-to-regexpобновлена для устранения уязвимости. - Зависимость
body-parserобновлена для устранения уязвимости. Это может затронуть приложение, если у вас включено URL-encoding.
- Исправлена XSS-уязвимость в
- 4.19.0, 4.19.1
- Исправлена уязвимость open redirect в
res.locationиres.redirect(advisory, CVE-2024-29041).
- Исправлена уязвимость open redirect в
- 4.17.3
- Зависимость
qsобновлена для устранения уязвимости. Это может затронуть приложение при использовании API:req.query,req.body,req.param.
- Зависимость
- 4.16.0
- Зависимость
forwardedобновлена для устранения уязвимости. Это может затронуть приложение при использовании API:req.host,req.hostname,req.ip,req.ips,req.protocol. - Зависимость
mimeобновлена для устранения уязвимости, но эта проблема не влияет на Express. - Зависимость
sendобновлена для защиты от уязвимости Node.js 8.5.0. Это касается только запуска Express на конкретной версии Node.js 8.5.0.
- Зависимость
- 4.15.5
- Зависимость
debugобновлена для устранения уязвимости, но эта проблема не влияет на Express. - Зависимость
freshобновлена для устранения уязвимости. Это влияет на приложение при использовании API:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfile,res.sendFile,res.sendStatus.
- Зависимость
- 4.15.3
- Зависимость
msобновлена для устранения уязвимости. Это может затронуть приложение, если в опциюmaxAge(дляexpress.static,res.sendfile,res.sendFile) передается недоверенный строковый ввод.
- Зависимость
- 4.15.2
- Зависимость
qsобновлена для устранения уязвимости, но эта проблема не влияет на Express. Обновление до 4.15.2 — хорошая практика, но не обязательное условие для закрытия этой уязвимости.
- Зависимость
- 4.11.1
- Исправлена уязвимость раскрытия корневого пути в
express.static,res.sendfileиres.sendFile.
- Исправлена уязвимость раскрытия корневого пути в
- 4.10.7
- Исправлена уязвимость open redirect в
express.static(advisory, CVE-2015-1164).
- Исправлена уязвимость open redirect в
- 4.8.8
- Исправлены уязвимости directory traversal в
express.static(advisory , CVE-2014-6394).
- Исправлены уязвимости directory traversal в
- 4.8.4
- В Node.js 0.10 в ряде случаев возможна утечка
fd, влияющая наexpress.staticиres.sendfile. Злонамеренные запросы могли приводить к утечкеfd, ошибкамEMFILEи недоступности сервера.
- В Node.js 0.10 в ряде случаев возможна утечка
- 4.8.0
- Sparse arrays с очень большими индексами в query string могли приводить к исчерпанию памяти процесса и падению сервера.
- Сильно вложенные объекты в query string могли блокировать процесс и временно делать сервер недоступным.
3.x¶
Express 3.x ДОСТИГ END-OF-LIFE И БОЛЬШЕ НЕ ПОДДЕРЖИВАЕТСЯ
Известные и неизвестные проблемы безопасности и производительности в 3.x не исправлялись с последнего обновления (1 августа 2015). Настоятельно рекомендуется использовать последнюю версию Express.
Если вы не можете обновиться выше 3.x, рассмотрите Commercial Support Options.
- 3.19.1
- Исправлена уязвимость раскрытия корневого пути в
express.static,res.sendfileиres.sendFile.
- Исправлена уязвимость раскрытия корневого пути в
- 3.19.0
- Исправлена уязвимость open redirect в
express.static(advisory, CVE-2015-1164).
- Исправлена уязвимость open redirect в
- 3.16.10
- Исправлены уязвимости directory traversal в
express.static.
- Исправлены уязвимости directory traversal в
- 3.16.6
- В Node.js 0.10 в ряде случаев возможна утечка
fd, влияющая наexpress.staticиres.sendfile. Злонамеренные запросы могли приводить к утечкеfd, ошибкамEMFILEи недоступности сервера.
- В Node.js 0.10 в ряде случаев возможна утечка
- 3.16.0
- Sparse arrays с очень большими индексами в query string могли приводить к исчерпанию памяти процесса и падению сервера.
- Сильно вложенные объекты в query string могли блокировать процесс и временно делать сервер недоступным.
- 3.3.0
- Ответ 404 при неподдерживаемой попытке method override был подвержен XSS-атакам.