セキュリティー更新

Node.js の脆弱性は Express に直接影響を与えます。そのため、Node.js の脆弱性の監視を続けて、必ず、安定した最新バージョンの Node.js を使用してください。 Therefore, keep a watch on Node.js vulnerabilities and make sure you are using the latest stable version of Node.js.

次のリストに、示されているバージョンの更新で修正された Express の脆弱性を列挙します。

Note

If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures.

4.x

4.21.2
- The dependency path-to-regexp has been updated to address a vulnerability.
4.21.1
- The dependency cookie has been updated to address a vulnerability, This may affect your application if you use res.cookie.
4.20.0
- Fixed XSS vulnerability in res.redirect (advisory, CVE-2024-43796).
- The dependency serve-static has been updated to address a vulnerability.
- The dependency send has been updated to address a vulnerability.
- The dependency path-to-regexp has been updated to address a vulnerability.
- The dependency body-parser has been updated to addres a vulnerability, This may affect your application if you had url enconding activated.
4.19.0, 4.19.1
- Fixed open redirect vulnerability in res.location and res.redirect (advisory, CVE-2024-29041).
4.17.3
- The dependency qs has been updated to address a vulnerability. This may affect your application if the following APIs are used: req.query, req.body, req.param.
4.16.0
- The dependency forwarded has been updated to address a vulnerability. 依存関係forwardedは、脆弱性に対処するために更新されました。これは、req.host、req.hostname、req.ip、req.ips、req.protocolのAPIが使用されている場合、アプリケーションに影響を与える可能性があります。
- 依存関係mimeは脆弱性に対処するために更新されましたが、この問題はExpressには影響しません。
- 依存関係sendが更新され、Node.js 8.5.0の脆弱性に対する保護が提供されています。これは特定のNode.jsバージョン8.5.0でExpressを実行する場合にのみ影響します。 This only impacts running Express on the specific Node.js version 8.5.0.
4.15.5
- 依存関係debugは脆弱性に対処するために更新されましたが、この問題はExpressには影響しません。
- The dependency fresh has been updated to address a vulnerability. 依存関係freshは、脆弱性に対処するために更新されました。これは、次のAPIが使用されている場合、アプリケーションに影響します：express.static、req.fresh、res.json、res.jsonp、res.send、res.sendfile、res.sendFile、res.sendStatus
4.15.3
- The dependency ms has been updated to address a vulnerability. 依存関係msは、脆弱性に対処するために更新されました。express.static、res.sendfile、およびres.sendFileのAPIで、信頼できない文字列が入力されmaxAgeオプションに渡されると、アプリケーションに影響を与える可能性があります。
4.15.2
- 依存関係qsは脆弱性に対処するために更新されましたが、この問題はExpressには影響しません。4.15.2へのアップデートは良い習慣ですが、この脆弱性に対処する必要はありません。 Updating to 4.15.2 is a good practice, but not required to address the vulnerability.
4.11.1
- express.static、res.sendfile、および res.sendFile のルート・パス開示の脆弱性を修正しました。
4.10.7
- express.static のオープン・リダイレクトの脆弱性を修正しました (アドバイザリー、CVE-2015-1164)。
4.8.8
- express.static のディレクトリー・トラバーサルの脆弱性を修正しました (アドバイザリー、CVE-2014-6394)。
4.8.4
- Node.js 0.10 は、特定の状況で fd をリークして、express.static および res.sendfile に影響を及ぼす可能性があります。悪意ある要求によって fd がリークされ、最終的に EMFILE エラーが発生したり、サーバーが応答しなくなったりする可能性があります。 Malicious requests could cause fds to leak and eventually lead to EMFILE errors and server unresponsiveness.
4.8.0
- クエリストリングに極めて多数の索引が含まれる疎配列により、プロセスがメモリー不足になり、サーバーが異常終了する可能性があります。
- 過度にネストされたクエリストリング・オブジェクトにより、プロセスがサーバーをブロックして、サーバーが一時的に応答できなくなる可能性があります。

3.x

Express 3.x は保守されなくなりました

3.xの既知および未知のセキュリティ問題は、最終更新（2015年8月1日）以降は対処されていません。3.x系を使用することは安全であると見なされるべきではありません。 It is highly recommended to use the latest version of Express.

If you are unable to upgrade past 3.x, please consider Commercial Support Options.

3.19.1
- express.static、res.sendfile、および res.sendFile のルート・パス開示の脆弱性を修正しました。
3.19.0
- express.static のオープン・リダイレクトの脆弱性を修正しました (アドバイザリー、CVE-2015-1164)。
3.16.10
- express.static のディレクトリー・トラバーサルの脆弱性を修正しました。
3.16.6
- Node.js 0.10 は、特定の状況で fd をリークして、express.static および res.sendfile に影響を及ぼす可能性があります。悪意ある要求によって fd がリークされ、最終的に EMFILE エラーが発生したり、サーバーが応答しなくなったりする可能性があります。 Malicious requests could cause fds to leak and eventually lead to EMFILE errors and server unresponsiveness.
3.16.0
- クエリストリングに極めて多数の索引が含まれる疎な配列により、プロセスがメモリー不足になり、サーバーが異常終了する可能性があります。
- 過度にネストされたクエリストリング・オブジェクトにより、プロセスがサーバーをブロックして、サーバーが一時的に応答できなくなる可能性があります。
3.3.0
- サポートされていないメソッドのオーバーライドの 404 応答は、クロスサイト・スクリプティングの攻撃を受ける可能性がありました。

Edit this page