Express 安全更新
Node.js的安全漏洞直接影响到Express,因此请密切关注Node.js的安全漏洞,并确保你正在使用最新稳定版本的Node.js。 此文档可能已过时,最新文档请参考官网 安全更新。
以下列表列出了在特定版本更新中修复的Express漏洞。
注意:如果你认为自己发现了Express的安全漏洞,请参阅安全政策和程序。
4.x
- 4.16.0
- 依赖项
forwarded已更新,以解决一个漏洞。如果使用以下API:req.host、req.hostname、req.ip、req.ips、req.protocol,此问题可能影响你的应用程序。 - 依赖项
mime已更新,以解决一个漏洞,但此问题不影响Express。 - 依赖项
send已更新,以针对Node.js 8.5.0的一个漏洞提供保护。这仅影响在特定Node.js版本8.5.0上运行的Express。
- 依赖项
- 4.15.5
- 依赖项
debug已更新,以解决一个漏洞,但此问题不影响Express。 - 依赖项
fresh已更新,以解决一个漏洞。如果使用以下API:express.static、req.fresh、res.json、res.jsonp、res.send、res.sendfile、res.sendFile、res.sendStatus,此问题将影响你的应用程序。
- 依赖项
- 4.15.3
- 依赖项
ms已更新,以解决一个漏洞。如果将不受信任的字符串输入传递给以下API的maxAge选项,此问题可能影响你的应用程序:express.static、res.sendfile和res.sendFile。
- 依赖项
- 4.15.2
- 依赖项
qs已更新,以解决一个漏洞,但此问题不影响Express。更新到4.15.2是个好习惯,但不是解决漏洞的必要条件。
- 依赖项
- 4.11.1
- 已修复
express.static、res.sendfile和res.sendFile中的根路径泄露漏洞。
- 已修复
- 4.10.7
- 已修复
express.static(建议性,CVE-2015-1164)中的开放重定向漏洞。
- 已修复
- 4.8.8
- 已修复
express.static(建议性,CVE-2014-6394)中的目录遍历漏洞。
- 已修复
- 4.8.4
- Node.js 0.10在某些情况下可能会泄露文件描述符(fds),这会影响
express.static和res.sendfile。恶意请求可能导致fds泄露,最终导致EMFILE错误和服务无响应。
- Node.js 0.10在某些情况下可能会泄露文件描述符(fds),这会影响
- 4.8.0
- 查询字符串中的稀疏数组,其索引极高,可能导致进程耗尽内存并崩溃服务器。
- 极度嵌套的查询字符串对象可能导致进程阻塞,使服务器暂时无法响应。
- 3.x
Express 3.x 已不再维护
自上次更新(2015年8月1日)以来,3.x中已知和未知的安全问题尚未得到解决。不应考虑使用3.x版本作为安全选择。
- 3.19.1
- 已修复
express.static、res.sendfile和res.sendFile中的根路径泄露漏洞。
- 已修复
- 3.19.0
- 已修复
express.static的开放重定向漏洞(建议性,CVE-2015-1164)。
- 已修复
- 3.16.10
- 已修复
express.static中的目录遍历漏洞。
- 已修复
- 3.16.6
- Node.js 0.10在某些情况下可能会泄露文件描述符(fds),这会影响
express.static和res.sendfile。恶意请求可能导致fds泄露,最终导致EMFILE错误和服务无响应。
- Node.js 0.10在某些情况下可能会泄露文件描述符(fds),这会影响
- 3.16.0
- 查询字符串中的稀疏数组,其索引极高,可能导致进程耗尽内存并崩溃服务器。
- 极度嵌套的查询字符串对象可能导致进程阻塞,使服务器暂时无法响应。
- 3.3.0
- 尝试覆盖不支持的方法时产生的404响应容易受到跨站脚本攻击。
