Aggiornamenti sulla sicurezza

Le vulnerabilità di Node.js influenzano direttamente Express. Pertanto, verificare sempre le vulnerabilità Node.js e assicurarsi di utilizzare l’ultima versione corretta di Node.js.

L’elenco seguente mostra le vulnerabilità di Express che sono state corrette nell’aggiornamento della versione specificato.

Note

If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures.

4.x

4.21.2
- The dependency path-to-regexp has been updated to address a vulnerability.
4.21.1
- The dependency cookie has been updated to address a vulnerability, This may affect your application if you use res.cookie.
4.20.0
- Fixed XSS vulnerability in res.redirect (advisory, CVE-2024-43796).
- The dependency serve-static has been updated to address a vulnerability.
- The dependency send has been updated to address a vulnerability.
- The dependency path-to-regexp has been updated to address a vulnerability.
- The dependency body-parser has been updated to addres a vulnerability, This may affect your application if you had url enconding activated.
4.19.0, 4.19.1
- Fixed open redirect vulnerability in res.location and res.redirect (advisory, CVE-2024-29041).
4.17.3
- The dependency qs has been updated to address a vulnerability. This may affect your application if the following APIs are used: req.query, req.body, req.param.
4.16.0
- The dependency forwarded has been updated to address a vulnerability. This may affect your application if the following APIs are used: req.host, req.hostname, req.ip, req.ips, req.protocol.
- The dependency mime has been updated to address a vulnerability, but this issue does not impact Express.
- The dependency send has been updated to provide a protection against a Node.js 8.5.0 vulnerability. This only impacts running Express on the specific Node.js version 8.5.0.
4.15.5
- The dependency debug has been updated to address a vulnerability, but this issue does not impact Express.
- The dependency fresh has been updated to address a vulnerability. This will affect your application if the following APIs are used: express.static, req.fresh, res.json, res.jsonp, res.send, res.sendfile res.sendFile, res.sendStatus.
4.15.3
- The dependency ms has been updated to address a vulnerability. This may affect your application if untrusted string input is passed to the maxAge option in the following APIs: express.static, res.sendfile, and res.sendFile.
4.15.2
- The dependency qs has been updated to address a vulnerability, but this issue does not impact Express. Updating to 4.15.2 is a good practice, but not required to address the vulnerability.
4.11.1
- Risolta la vulnerabilità del rilevamento del percorso root in express.static, res.sendfile e res.sendFile
4.10.7
- Risolta la vulnerabilità del reindirizzamento aperto in express.static (advisory, CVE-2015-1164).
4.8.8
- Risolte le vulnerabilità trasversali della directory in express.static (advisory, CVE-2014-6394).
4.8.4
- Node.js 0.10 può portare alla perdita di fd in determinate situazioni che influenzano express.static e res.sendfile. Le richieste sospette potrebbero causare una perdita di fd ed eventualmente il verificarsi di errori EMFILE e risposte mancate del server.
4.8.0
- Le matrici sparse che dispongono di indici estremamente elevati nella stringa di query potrebbero causare errori di memoria nel processo e una chiusura anomala del server.
- Gli oggetti di stringa query molto nidificati potrebbero causare un blocco del processo e una mancata risposta da parte del server.

3.x

Express 3.x NON È PIU’ SUPPORTATO

I problemi noti e non noti relativi alla sicurezza presenti in 3.x non sono stati indirizzati dall’ultimo aggiornamento (1 agosto 2015). Si consiglia di utilizzare l’ultima versione di Express.

If you are unable to upgrade past 3.x, please consider Commercial Support Options.

3.19.1
- Risolta la vulnerabilità del rilevamento del percorso root in express.static, res.sendfile e res.sendFile
3.19.0
- Risolta la vulnerabilità del reindirizzamento aperto in express.static (advisory, CVE-2015-1164).
3.16.10
- Risolte le vulnerabilità trasversali della directory in express.static.
3.16.6
- Node.js 0.10 può portare alla perdita di fd in determinate situazioni che influenzano express.static e res.sendfile. Le richieste sospette potrebbero causare una perdita di fd ed eventualmente il verificarsi di errori EMFILE e risposte mancate del server.
3.16.0
- Le matrici sparse che dispongono di indici estremamente elevati nella stringa di query potrebbero causare errori di memoria nel processo e una chiusura anomala del server.
- Gli oggetti di stringa query molto nidificati potrebbero causare un blocco del processo e una mancata risposta da parte del server.
3.3.0
- La risposta 404 di un metodo non supportato sovrascrive un tentativo suscettibili in precedenza ad attacchi XSS (cross-site scripting).

Edit this page