Sicherheitsupdates
Schwachstellen bei Node.js wirken sich direkt auf Express aus. Daher sollten Sie ein Auge auf Schwachstellen bei Node.js haben und sicherstellen, dass Sie die aktuelle stabile Version von Node.js haben.
Die folgende Liste enthält die Express-Schwachstellen, die im angegebenen Versionsupdate behoben wurden.
Note
If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures.
4.x
- 4.21.2
- The dependency
path-to-regexphas been updated to address a vulnerability.
- The dependency
- 4.21.1
- The dependency
cookiehas been updated to address a vulnerability, This may affect your application if you useres.cookie.
- The dependency
- 4.20.0
- Fixed XSS vulnerability in
res.redirect(advisory, CVE-2024-43796). - The dependency
serve-statichas been updated to address a vulnerability. - The dependency
sendhas been updated to address a vulnerability. - The dependency
path-to-regexphas been updated to address a vulnerability. - The dependency
body-parserhas been updated to addres a vulnerability, This may affect your application if you had url enconding activated.
- Fixed XSS vulnerability in
- 4.19.0, 4.19.1
- Fixed open redirect vulnerability in
res.locationandres.redirect(advisory, CVE-2024-29041).
- Fixed open redirect vulnerability in
- 4.17.3
- The dependency
qshas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.query,req.body,req.param.
- The dependency
- 4.16.0
- The dependency
forwardedhas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.host,req.hostname,req.ip,req.ips,req.protocol. - The dependency
mimehas been updated to address a vulnerability, but this issue does not impact Express. - The dependency
sendhas been updated to provide a protection against a Node.js 8.5.0 vulnerability. This only impacts running Express on the specific Node.js version 8.5.0.
- The dependency
- 4.15.5
- The dependency
debughas been updated to address a vulnerability, but this issue does not impact Express. - The dependency
freshhas been updated to address a vulnerability. This will affect your application if the following APIs are used:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendStatus.
- The dependency
- 4.15.3
- The dependency
mshas been updated to address a vulnerability. This may affect your application if untrusted string input is passed to themaxAgeoption in the following APIs:express.static,res.sendfile, andres.sendFile.
- The dependency
- 4.15.2
- The dependency
qshas been updated to address a vulnerability, but this issue does not impact Express. Updating to 4.15.2 is a good practice, but not required to address the vulnerability.
- The dependency
- 4.11.1
- Offenlegungsgefahr beim Rootpfad in
express.static,res.sendfileundres.sendFilebehoben.
- Offenlegungsgefahr beim Rootpfad in
- 4.10.7
- Offene Umadressierungsschwachstelle in
express.static(Empfehlung, CVE-2015-1164) behoben.
- Offene Umadressierungsschwachstelle in
- 4.8.8
- Schwachstellen durch Directory-Traversal-Technik in
express.static(Empfehlung , CVE-2014-6394) behoben.
- Schwachstellen durch Directory-Traversal-Technik in
- 4.8.4
- Node.js 0.10 kann in bestimmten Situationen Lecks bei
fdaufweisen, die sich aufexpress.staticundres.sendfileauswirken. Böswillige Anforderungen können zu Lecks beifdführen und letztendlichEMFILE-Fehler nach sich ziehen und bewirken, dass Server nicht antworten.
- Node.js 0.10 kann in bestimmten Situationen Lecks bei
- 4.8.0
- Sparse-Arrays mit extrem hohen Indizes in der Abfragezeichenfolge können bewirken, dass für die Prozessausführung nicht genügend Arbeitsspeicher zur Verfügung steht und es zu einem Serverabsturz kommt.
- Extrem verschachtelte Abfragezeichenfolgenobjekte können bewirken, dass der Prozess blockiert und der Server dadurch vorübergehend nicht antwortet.
3.x
Express 3.x WIRD NICHT MEHR GEWARTET
Bekannte und unbekannte Probleme bei Sicherheit und Leistung in 3.x wurden seit dem letzten Update (1. August 2015) noch nicht behoben. Es wird dringend empfohlen, die aktuelle Version von Express zu verwenden.
If you are unable to upgrade past 3.x, please consider Commercial Support Options.
- 3.19.1
- Offenlegungsgefahr beim Rootpfad in
express.static,res.sendfileundres.sendFilebehoben.
- Offenlegungsgefahr beim Rootpfad in
- 3.19.0
- Offene Umadressierungsschwachstelle in
express.static(Empfehlung, CVE-2015-1164) behoben.
- Offene Umadressierungsschwachstelle in
- 3.16.10
- Schwachstellen durch Directory-Traversal-Technik in
express.staticbehoben.
- Schwachstellen durch Directory-Traversal-Technik in
- 3.16.6
- Node.js 0.10 kann in bestimmten Situationen Lecks bei
fdaufweisen, die sich aufexpress.staticundres.sendfileauswirken. Böswillige Anforderungen können zu Lecks beifdführen und letztendlichEMFILE-Fehler nach sich ziehen und bewirken, dass Server nicht antworten.
- Node.js 0.10 kann in bestimmten Situationen Lecks bei
- 3.16.0
- Sparse-Arrays mit extrem hohen Indizes in der Abfragezeichenfolge können bewirken, dass für die Prozessausführung nicht genügend Arbeitsspeicher zur Verfügung steht und es zu einem Serverabsturz kommt.
- Extrem verschachtelte Abfragezeichenfolgenobjekte können bewirken, dass der Prozess blockiert und der Server dadurch vorübergehend nicht antwortet.
- 3.3.0
- Die Antwort 404 bei einem nicht unterstützten Überschreibungsversuch war anfällig gegen Cross-Site Scripting-Attacken.