©
Ce document utilise Manuel du site Web PHP chinois Libérer
Node.js漏洞直接影响Express。因此,请留意Node.js漏洞并确保您使用的是最新的稳定版本的Node.js。
以下列表列举了指定版本更新中修复的Express漏洞。
注意:如果您认为您发现了Express中的安全漏洞,请参阅安全策略和过程。
4.16.0
依赖项forwarded
已更新以解决漏洞。这可能会影响您的应用程序是否使用了下列API: ,req.host
,req.hostname
,req.ip
,。req.ipsreq.protocol
依赖项mime
已更新以解决漏洞,但此问题不会影响Express。
依赖项send
已更新,以提供针对Node.js 8.5.0漏洞的保护。这仅影响在特定Node.js 8.5.0版上运行Express。
4.15.5
依赖项debug
已更新以解决漏洞,但此问题不会影响Express。
依赖项fresh
已更新以解决漏洞。这会影响你的应用程序是否使用了下列API: ,express.static
,req.fresh
,res.json
,res.jsonp
,res.send
,。res.sendfile
res.sendFileres.sendStatus
4.15.3
依赖项ms
已更新以解决漏洞。如果不受信任的字符串输入被传递到这可能会影响你的应用程序maxAge
中以下API选项:express.static
,res.sendfile
,和res.sendFile
。
4.15.2
依赖项qs
已更新以解决漏洞,但此问题不会影响Express。更新到4.15.2是一种很好的做法,但不是解决此漏洞所必需的。
4.11.1
固定根路径泄露漏洞express.static
,res.sendfile
以及res.sendFile
4.10.7
修复了express.static
(Advisory,CVE-2015-1164)中的开放式重定向漏洞。
4.8.8
修复了express.static
(advisory,CVE-2014-6394)中的目录遍历漏洞。
4.8.4
Node.js 0.10 fd
在某些情况下会泄漏s,express.static
并影响和res.sendfile
。恶意请求可能导致fd
s泄漏并最终导致EMFILE
错误和服务器无响应。
4.8.0
在查询字符串中具有极高索引的稀疏数组可能会导致进程耗尽内存并使服务器崩溃。
极其嵌套的查询字符串对象可能会导致进程阻塞,并使服务器暂时无响应。
Express 3.x不再维护
自上次更新(2015年8月1日)以来,尚未解决3.x中已知和未知的安全问题。使用3.x行不应该被认为是安全的。
3.19.1
固定根路径泄露漏洞express.static
,res.sendfile
以及res.sendFile
3.19.0
修复了express.static
(Advisory,CVE-2015-1164)中的开放式重定向漏洞。
3.16.10
修复了目录遍历漏洞express.static
。
3.16.6
Node.js 0.10 fd
在某些情况下会泄漏,express.static
并影响和res.sendfile
。恶意请求可能导致fd
s泄漏并最终导致EMFILE
错误和服务器无响应。
3.16.0
在查询字符串中具有极高索引的稀疏数组可能会导致进程耗尽内存并导致服务器崩溃。
极其嵌套的查询字符串对象可能会导致进程阻塞,并使服务器暂时无响应。
3.3.0
不支持的方法覆盖尝试的404响应容易受到跨站脚本攻击的影响。