Aggiornamenti sulla sicurezza
Le vulnerabilità di Node.js influenzano direttamente Express. Pertanto, verificare sempre le vulnerabilità Node.js e assicurarsi di utilizzare l’ultima versione corretta di Node.js.
L’elenco seguente mostra le vulnerabilità di Express che sono state corrette nell’aggiornamento della versione specificato.
Note
If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures.
4.x
- 4.21.2
- The dependency
path-to-regexphas been updated to address a vulnerability.
- The dependency
- 4.21.1
- The dependency
cookiehas been updated to address a vulnerability, This may affect your application if you useres.cookie.
- The dependency
- 4.20.0
- Fixed XSS vulnerability in
res.redirect(advisory, CVE-2024-43796). - The dependency
serve-statichas been updated to address a vulnerability. - The dependency
sendhas been updated to address a vulnerability. - The dependency
path-to-regexphas been updated to address a vulnerability. - The dependency
body-parserhas been updated to addres a vulnerability, This may affect your application if you had url enconding activated.
- Fixed XSS vulnerability in
- 4.19.0, 4.19.1
- Fixed open redirect vulnerability in
res.locationandres.redirect(advisory, CVE-2024-29041).
- Fixed open redirect vulnerability in
- 4.17.3
- The dependency
qshas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.query,req.body,req.param.
- The dependency
- 4.16.0
- The dependency
forwardedhas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.host,req.hostname,req.ip,req.ips,req.protocol. - The dependency
mimehas been updated to address a vulnerability, but this issue does not impact Express. - The dependency
sendhas been updated to provide a protection against a Node.js 8.5.0 vulnerability. This only impacts running Express on the specific Node.js version 8.5.0.
- The dependency
- 4.15.5
- The dependency
debughas been updated to address a vulnerability, but this issue does not impact Express. - The dependency
freshhas been updated to address a vulnerability. This will affect your application if the following APIs are used:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendStatus.
- The dependency
- 4.15.3
- The dependency
mshas been updated to address a vulnerability. This may affect your application if untrusted string input is passed to themaxAgeoption in the following APIs:express.static,res.sendfile, andres.sendFile.
- The dependency
- 4.15.2
- The dependency
qshas been updated to address a vulnerability, but this issue does not impact Express. Updating to 4.15.2 is a good practice, but not required to address the vulnerability.
- The dependency
- 4.11.1
- Risolta la vulnerabilità del rilevamento del percorso root in
express.static,res.sendfileeres.sendFile
- Risolta la vulnerabilità del rilevamento del percorso root in
- 4.10.7
- Risolta la vulnerabilità del reindirizzamento aperto in
express.static(advisory, CVE-2015-1164).
- Risolta la vulnerabilità del reindirizzamento aperto in
- 4.8.8
- Risolte le vulnerabilità trasversali della directory in
express.static(advisory, CVE-2014-6394).
- Risolte le vulnerabilità trasversali della directory in
- 4.8.4
- Node.js 0.10 può portare alla perdita di
fdin determinate situazioni che influenzanoexpress.staticeres.sendfile. Le richieste sospette potrebbero causare una perdita difded eventualmente il verificarsi di erroriEMFILEe risposte mancate del server.
- Node.js 0.10 può portare alla perdita di
- 4.8.0
- Le matrici sparse che dispongono di indici estremamente elevati nella stringa di query potrebbero causare errori di memoria nel processo e una chiusura anomala del server.
- Gli oggetti di stringa query molto nidificati potrebbero causare un blocco del processo e una mancata risposta da parte del server.
3.x
Express 3.x NON È PIU’ SUPPORTATO
I problemi noti e non noti relativi alla sicurezza presenti in 3.x non sono stati indirizzati dall’ultimo aggiornamento (1 agosto 2015). Si consiglia di utilizzare l’ultima versione di Express.
If you are unable to upgrade past 3.x, please consider Commercial Support Options.
- 3.19.1
- Risolta la vulnerabilità del rilevamento del percorso root in
express.static,res.sendfileeres.sendFile
- Risolta la vulnerabilità del rilevamento del percorso root in
- 3.19.0
- Risolta la vulnerabilità del reindirizzamento aperto in
express.static(advisory, CVE-2015-1164).
- Risolta la vulnerabilità del reindirizzamento aperto in
- 3.16.10
- Risolte le vulnerabilità trasversali della directory in
express.static.
- Risolte le vulnerabilità trasversali della directory in
- 3.16.6
- Node.js 0.10 può portare alla perdita di
fdin determinate situazioni che influenzanoexpress.staticeres.sendfile. Le richieste sospette potrebbero causare una perdita difded eventualmente il verificarsi di erroriEMFILEe risposte mancate del server.
- Node.js 0.10 può portare alla perdita di
- 3.16.0
- Le matrici sparse che dispongono di indici estremamente elevati nella stringa di query potrebbero causare errori di memoria nel processo e una chiusura anomala del server.
- Gli oggetti di stringa query molto nidificati potrebbero causare un blocco del processo e una mancata risposta da parte del server.
- 3.3.0
- La risposta 404 di un metodo non supportato sovrascrive un tentativo suscettibili in precedenza ad attacchi XSS (cross-site scripting).