Mises à jour de sécurité
Les vulnérabilités Node.js affectent directement Express. Cependant, gardez un oeil sur les vulnérabilités Node.js et assurez-vous d’utiliser la dernière version stable de Node.js.
La liste ci-dessous répertorie les vulnérabilités Express qui ont été corrigées dans la mise à jour de la version spécifiée.
Note
If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures.
4.x
- 4.21.2
- The dependency
path-to-regexphas been updated to address a vulnerability.
- The dependency
- 4.21.1
- The dependency
cookiehas been updated to address a vulnerability, This may affect your application if you useres.cookie.
- The dependency
- 4.20.0
- Fixed XSS vulnerability in
res.redirect(advisory, CVE-2024-43796). - The dependency
serve-statichas been updated to address a vulnerability. - The dependency
sendhas been updated to address a vulnerability. - The dependency
path-to-regexphas been updated to address a vulnerability. - The dependency
body-parserhas been updated to addres a vulnerability, This may affect your application if you had url enconding activated.
- Fixed XSS vulnerability in
- 4.19.0, 4.19.1
- Fixed open redirect vulnerability in
res.locationandres.redirect(advisory, CVE-2024-29041).
- Fixed open redirect vulnerability in
- 4.17.3
- The dependency
qshas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.query,req.body,req.param.
- The dependency
- 4.16.0
- The dependency
forwardedhas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.host,req.hostname,req.ip,req.ips,req.protocol. - The dependency
mimehas been updated to address a vulnerability, but this issue does not impact Express. - The dependency
sendhas been updated to provide a protection against a Node.js 8.5.0 vulnerability. This only impacts running Express on the specific Node.js version 8.5.0.
- The dependency
- 4.15.5
- The dependency
debughas been updated to address a vulnerability, but this issue does not impact Express. - The dependency
freshhas been updated to address a vulnerability. This will affect your application if the following APIs are used:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendStatus.
- The dependency
- 4.15.3
- The dependency
mshas been updated to address a vulnerability. This may affect your application if untrusted string input is passed to themaxAgeoption in the following APIs:express.static,res.sendfile, andres.sendFile.
- The dependency
- 4.15.2
- The dependency
qshas been updated to address a vulnerability, but this issue does not impact Express. Updating to 4.15.2 is a good practice, but not required to address the vulnerability.
- The dependency
- 4.11.1
- Correction de la vulnérabilité de divulgation de racine dans
express.static,res.sendfileetres.sendFile
- Correction de la vulnérabilité de divulgation de racine dans
- 4.10.7
- Correction de la vulnérabilité de redirection ouverte dans
express.static(advisory, CVE-2015-1164).
- Correction de la vulnérabilité de redirection ouverte dans
- 4.8.8
- Correction des vulnérabilités de traversée de répertoire dans
express.static(advisory , CVE-2014-6394).
- Correction des vulnérabilités de traversée de répertoire dans
- 4.8.4
- Node.js 0.10 peut divulguer des
fddans certaines situations qui affectentexpress.staticetres.sendfile. Des demandes malveillantes pouvaient entraîner la divulgation defd, ainsi que des erreursEMFILEet une absence de réponse du serveur.
- Node.js 0.10 peut divulguer des
- 4.8.0
- Les tableaux creux qui possèdent des index très élevés dans la chaîne de requête pouvaient entraîner la saturation de mémoire et la panne du serveur.
- Les objets contenant des chaînes de requête extrêmement imbriquées pouvaient entraîner le blocage du processus et figer temporairement le serveur.
3.x
Express 3.x N’EST PLUS PRIS EN CHARGE
Les problèmes de performances et de sécurité connus et inconnus n’ont pas été traités depuis la dernière mise à jour (1er août 2015). Il est fortement recommandé d’utiliser la dernière version d’Express.
If you are unable to upgrade past 3.x, please consider Commercial Support Options.
- 3.19.1
- Correction de la vulnérabilité de divulgation de racine dans
express.static,res.sendfileetres.sendFile
- Correction de la vulnérabilité de divulgation de racine dans
- 3.19.0
- Correction de la vulnérabilité de redirection ouverte dans
express.static(advisory, CVE-2015-1164).
- Correction de la vulnérabilité de redirection ouverte dans
- 3.16.10
- Correction des vulnérabilités de traversée de répertoire dans
express.static.
- Correction des vulnérabilités de traversée de répertoire dans
- 3.16.6
- Node.js 0.10 peut divulguer des
fddans certaines situations qui affectentexpress.staticetres.sendfile. Des demandes malveillantes pouvaient entraîner la divulgation defd, ainsi que des erreursEMFILEet une absence de réponse du serveur.
- Node.js 0.10 peut divulguer des
- 3.16.0
- Les tableaux creux qui possèdent des index très élevés dans la chaîne de requête pouvaient entraîner la saturation de mémoire et la panne du serveur.
- Les objets contenant des chaînes de requête extrêmement imbriquées pouvaient entraîner le blocage du processus et figer temporairement le serveur.
- 3.3.0
- La réponse 404 à une tentative de substitution de méthode non prise en charge était susceptible d’entraîner des attaques de type cross-site scripting.