Atualizações de segurança
As vulnerabilidades do Node.js afetam diretamente o Express. Portanto fique atento às vulnerabilidades do Node.js e certifique-se de que você está usando a versão estável mais recente do Node.js.
A lista abaixo enumera as vulnerabilidades do Express que foram corrigidas na versão da atualização especificadas.
Observação
If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures.
4.x
- 4.21.2
- The dependency
path-to-regexphas been updated to address a vulnerability.
- The dependency
- 4.21.1
- The dependency
cookiehas been updated to address a vulnerability, This may affect your application if you useres.cookie.
- The dependency
- 4.20.0
- Fixed XSS vulnerability in
res.redirect(advisory, CVE-2024-43796). - The dependency
serve-statichas been updated to address a vulnerability. - The dependency
sendhas been updated to address a vulnerability. - The dependency
path-to-regexphas been updated to address a vulnerability. - The dependency
body-parserhas been updated to addres a vulnerability, This may affect your application if you had url enconding activated.
- Fixed XSS vulnerability in
- 4.19.0, 4.19.1
- Fixed open redirect vulnerability in
res.locationandres.redirect(advisory, CVE-2024-29041).
- Fixed open redirect vulnerability in
- 4.17.3
- The dependency
qshas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.query,req.body,req.param.
- The dependency
- 4.16.0
- The dependency
forwardedhas been updated to address a vulnerability. This may affect your application if the following APIs are used:req.host,req.hostname,req.ip,req.ips,req.protocol. - The dependency
mimehas been updated to address a vulnerability, but this issue does not impact Express. - The dependency
sendhas been updated to provide a protection against a Node.js 8.5.0 vulnerability. This only impacts running Express on the specific Node.js version 8.5.0.
- The dependency
- 4.15.5
- The dependency
debughas been updated to address a vulnerability, but this issue does not impact Express. - The dependency
freshhas been updated to address a vulnerability. This will affect your application if the following APIs are used:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendStatus.
- The dependency
- 4.15.3
- The dependency
mshas been updated to address a vulnerability. This may affect your application if untrusted string input is passed to themaxAgeoption in the following APIs:express.static,res.sendfile, andres.sendFile.
- The dependency
- 4.15.2
- The dependency
qshas been updated to address a vulnerability, but this issue does not impact Express. Updating to 4.15.2 is a good practice, but not required to address the vulnerability.
- The dependency
- 4.11.1
- Corrigida a vulnerabilidade de divulgação do caminho
raiz no
express.static,res.sendfile, eres.sendFile
- Corrigida a vulnerabilidade de divulgação do caminho
raiz no
- 4.10.7
- Corrigida a vulnerabilidade de redirecionamento aberto no
express.static(recomendação, CVE-2015-1164).
- Corrigida a vulnerabilidade de redirecionamento aberto no
- 4.8.8
- Corrigida a vulnerabilidade de travessia de diretório no
express.static(recomendação, CVE-2014-6394).
- Corrigida a vulnerabilidade de travessia de diretório no
- 4.8.4
- O Node.js 0.10 pode vazar os
fds em certas situações que afetam oexpress.statice ores.sendfile. Solicitações maliciosas podem causar osfds a vazar e eventualmente levar a erros deEMFILEe servidores sem capacidade de resposta.
- O Node.js 0.10 pode vazar os
- 4.8.0
- Matrizes esparsas que possuem índices extremamente altos na sequência de consulta podem fazer com que o processo sofra um esgotamento de memória e derrubar o servidor.
- Objetos de sequência de consulta extremamente aninhados podem fazer com que o processo fique bloqueado e o servidor temporariamente não responsivo.
3.x
Express 3.x support is ending soon
This series will continue to receive only security updates and bug fixes until July 2015. It is highly recommended to upgrade to Express 4.x.
Se você não puder atualizar as últimas 3.x, por favor considere as Opções de Suporte Comercial.
- 3.19.1
- Corrigida a vulnerabilidade de divulgação do caminho
raiz no
express.static,res.sendfile, eres.sendFile
- Corrigida a vulnerabilidade de divulgação do caminho
raiz no
- 3.19.0
- Corrigida a vulnerabilidade de redirecionamento aberto no
express.static(recomendação, CVE-2015-1164).
- Corrigida a vulnerabilidade de redirecionamento aberto no
- 3.16.10
- Corrigida a vulnerabilidade de travessia de diretório no
express.static.
- Corrigida a vulnerabilidade de travessia de diretório no
- 3.16.6
- O Node.js 0.10 pode vazar os
fds em certas situações que afetam oexpress.statice ores.sendfile. Solicitações maliciosas podem causar osfds a vazar e eventualmente levar a erros deEMFILEe servidores sem capacidade de resposta.
- O Node.js 0.10 pode vazar os
- 3.16.0
- Matrizes esparsas que possuem índices extremamente altos na sequência de consulta podem fazer com que o processo sofra um esgotamento de memória e derrubar o servidor.
- Objetos de sequência de consulta extremamente aninhados podem fazer com que o processo fique bloqueado e o servidor temporariamente não responsivo.
- 3.3.0
- A resposta 404 de uma tentativa de substituição de um método não suportado era suscetível a ataques de cross-site scripting.