Actualizaciones de seguridad
Node.js vulnerabilities directly affect Express. Por lo tanto, vigile las vulnerabilidades de Node.js y asegúrese de utilizar la versión estable más reciente de Node.js.
En la lista siguiente se muestran las vulnerabilidades de Express que se han solucionado en la actualización de versión especificada.
Nota
If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures.
4.x
- 4.21.2
- The dependency
path-to-regexphas been updated to address a vulnerability.
- The dependency
- 4.21.1
- The dependency
cookiehas been updated to address a vulnerability, This may affect your application if you useres.cookie.
- The dependency
- 4.20.0
- Fixed XSS vulnerability in
res.redirect(advisory, CVE-2024-43796). - The dependency
serve-statichas been updated to address a vulnerability. - The dependency
sendhas been updated to address a vulnerability. - The dependency
path-to-regexphas been updated to address a vulnerability. - The dependency
body-parserhas been updated to addres a vulnerability, This may affect your application if you had url enconding activated.
- Fixed XSS vulnerability in
- 4.19.0, 4.19.1
- Fixed open redirect vulnerability in
res.locationandres.redirect(advisory, CVE-2024-29041).
- Fixed open redirect vulnerability in
- 4.17.3
- The dependency
qshas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.query,req.body,req.param.
- The dependency
- 4.16.0
- The dependency
forwardedhas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.host,req.hostname,req.ip,req.ips,req.protocol. - The dependency
mimehas been updated to address a vulnerability, but this issue does not impact Express. - The dependency
sendhas been updated to provide a protection against a Node.js 8.5.0 vulnerability. This only impacts running Express on the specific Node.js version 8.5.0.
- The dependency
- 4.15.5
- The dependency
debughas been updated to address a vulnerability, but this issue does not impact Express. - The dependency
freshhas been updated to address a vulnerability. This will affect your application if the following APIs are used:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendStatus.
- The dependency
- 4.15.3
- The dependency
mshas been updated to address a vulnerability. This may affect your application if untrusted string input is passed to themaxAgeoption in the following APIs:express.static,res.sendfile, andres.sendFile.
- The dependency
- 4.15.2
- The dependency
qshas been updated to address a vulnerability, but this issue does not impact Express. Updating to 4.15.2 is a good practice, but not required to address the vulnerability.
- The dependency
- 4.11.1
- Se ha solucionado la vulnerabilidad de divulgación de vía de acceso raíz en
express.static,res.sendfileyres.sendFile
- Se ha solucionado la vulnerabilidad de divulgación de vía de acceso raíz en
- 4.10.7
- Se ha solucionado la vulnerabilidad de Open Redirect en
express.static(anuncio, CVE-2015-1164).
- Se ha solucionado la vulnerabilidad de Open Redirect en
- 4.8.8
- Se han solucionado las vulnerabilidades de cruce de directorios en
express.static(anuncio , CVE-2014-6394).
- Se han solucionado las vulnerabilidades de cruce de directorios en
- 4.8.4
- Node.js 0.10 puede tener fugas de
fden determinadas situaciones que afectan aexpress.staticyres.sendfile. Las solicitudes maliciosas pueden provocar la fuga defdy, en última instancia, generar erroresEMFILEy anular la capacidad de respuesta del servidor.
- Node.js 0.10 puede tener fugas de
- 4.8.0
- Las matrices dispersas que tienen índices extremadamente altos en la serie de consulta pueden hacer que el proceso se quede sin memoria y se bloquee el servidor.
- Los objetos de serie de consulta extremadamente anidados pueden hacer que se bloquee el proceso y anular la capacidad de respuesta del servidor temporalmente.
3.x
Express 3.x YA NO SE MANTIENE
Los problemas de rendimiento y seguridad conocidos y desconocidos en 3.x no se han solucionado desde la última actualización (1 de agosto de 2015). Se recomienda especialmente utilizar la última versión de Express.
If you are unable to upgrade past 3.x, please consider Commercial Support Options.
- 3.19.1
- Se ha solucionado la vulnerabilidad de divulgación de vía de acceso raíz en
express.static,res.sendfileyres.sendFile
- Se ha solucionado la vulnerabilidad de divulgación de vía de acceso raíz en
- 3.19.0
- Se ha solucionado la vulnerabilidad de Open Redirect en
express.static(anuncio, CVE-2015-1164).
- Se ha solucionado la vulnerabilidad de Open Redirect en
- 3.16.10
- Se han solucionado las vulnerabilidades de cruce de directorios en
express.static.
- Se han solucionado las vulnerabilidades de cruce de directorios en
- 3.16.6
- Node.js 0.10 puede tener fugas de
fden determinadas situaciones que afectan aexpress.staticyres.sendfile. Las solicitudes maliciosas pueden provocar la fuga defdy, en última instancia, generar erroresEMFILEy anular la capacidad de respuesta del servidor.
- Node.js 0.10 puede tener fugas de
- 3.16.0
- Las matrices dispersas que tienen índices extremadamente altos en la serie de consulta pueden hacer que el proceso se quede sin memoria y se bloquee el servidor.
- Los objetos de serie de consulta extremadamente anidados pueden hacer que se bloquee el proceso y anular la capacidad de respuesta del servidor temporalmente.
- 3.3.0
- La respuesta 404 de un intento de alteración temporal de método no soportado era susceptible de ataques de scripts entre sitios.