セキュリティー更新

Node.js の脆弱性は Express に直接影響を与えます。そのため、Node.js の脆弱性の監視を続けて、必ず、安定した最新バージョンの Node.js を使用してください。 Therefore, keep a watch on Node.js vulnerabilities and make sure you are using the latest stable version of Node.js.

次のリストに、示されているバージョンの更新で修正された Express の脆弱性を列挙します。

Note

If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures.

4.x

  • 4.21.2
    • The dependency path-to-regexp has been updated to address a vulnerability.
  • 4.21.1
    • The dependency cookie has been updated to address a vulnerability, This may affect your application if you use res.cookie.
  • 4.20.0
    • Fixed XSS vulnerability in res.redirect (advisory, CVE-2024-43796).
    • The dependency serve-static has been updated to address a vulnerability.
    • The dependency send has been updated to address a vulnerability.
    • The dependency path-to-regexp has been updated to address a vulnerability.
    • The dependency body-parser has been updated to addres a vulnerability, This may affect your application if you had url enconding activated.
  • 4.19.0, 4.19.1
  • 4.17.3
    • The dependency qs has been updated to address a vulnerability. This may affect your application if the following APIs are used: req.query, req.body, req.param.
  • 4.16.0
    • The dependency forwarded has been updated to address a vulnerability. 依存関係forwardedは、脆弱性に対処するために更新されました。これは、req.hostreq.hostnamereq.ipreq.ipsreq.protocolのAPIが使用されている場合、アプリケーションに影響を与える可能性があります。
    • 依存関係mime脆弱性に対処するために更新されましたが、この問題はExpressには影響しません。
    • 依存関係sendが更新され、Node.js 8.5.0の脆弱性に対する保護が提供されています。これは特定のNode.jsバージョン8.5.0でExpressを実行する場合にのみ影響します。 This only impacts running Express on the specific Node.js version 8.5.0.
  • 4.15.5
    • 依存関係debug脆弱性に対処するために更新されましたが、この問題はExpressには影響しません。
    • The dependency fresh has been updated to address a vulnerability. 依存関係freshは、脆弱性に対処するために更新されました。これは、次のAPIが使用されている場合、アプリケーションに影響します:express.staticreq.freshres.jsonres.jsonpres.sendres.sendfileres.sendFileres.sendStatus
  • 4.15.3
    • The dependency ms has been updated to address a vulnerability. 依存関係msは、脆弱性に対処するために更新されました。express.staticres.sendfile、およびres.sendFileのAPIで、信頼できない文字列が入力されmaxAgeオプションに渡されると、アプリケーションに影響を与える可能性があります。
  • 4.15.2
    • 依存関係qs脆弱性に対処するために更新されましたが、この問題はExpressには影響しません。4.15.2へのアップデートは良い習慣ですが、この脆弱性に対処する必要はありません。 Updating to 4.15.2 is a good practice, but not required to address the vulnerability.
  • 4.11.1
    • express.staticres.sendfile、および res.sendFile のルート・パス開示の脆弱性を修正しました。
  • 4.10.7
  • 4.8.8
  • 4.8.4
    • Node.js 0.10 は、特定の状況で fd をリークして、express.static および res.sendfile に影響を及ぼす可能性があります。悪意ある要求によって fd がリークされ、最終的に EMFILE エラーが発生したり、サーバーが応答しなくなったりする可能性があります。 Malicious requests could cause fds to leak and eventually lead to EMFILE errors and server unresponsiveness.
  • 4.8.0
    • クエリストリングに極めて多数の索引が含まれる疎配列により、プロセスがメモリー不足になり、サーバーが異常終了する可能性があります。
    • 過度にネストされたクエリストリング・オブジェクトにより、プロセスがサーバーをブロックして、サーバーが一時的に応答できなくなる可能性があります。

3.x

Express 3.x は保守されなくなりました

3.xの既知および未知のセキュリティ問題は、最終更新(2015年8月1日)以降は対処されていません。3.x系を使用することは安全であると見なされるべきではありません。 It is highly recommended to use the latest version of Express.

If you are unable to upgrade past 3.x, please consider Commercial Support Options.

  • 3.19.1
    • express.staticres.sendfile、および res.sendFile のルート・パス開示の脆弱性を修正しました。
  • 3.19.0
  • 3.16.10
    • express.static のディレクトリー・トラバーサルの脆弱性を修正しました。
  • 3.16.6
    • Node.js 0.10 は、特定の状況で fd をリークして、express.static および res.sendfile に影響を及ぼす可能性があります。悪意ある要求によって fd がリークされ、最終的に EMFILE エラーが発生したり、サーバーが応答しなくなったりする可能性があります。 Malicious requests could cause fds to leak and eventually lead to EMFILE errors and server unresponsiveness.
  • 3.16.0
    • クエリストリングに極めて多数の索引が含まれる疎な配列により、プロセスがメモリー不足になり、サーバーが異常終了する可能性があります。
    • 過度にネストされたクエリストリング・オブジェクトにより、プロセスがサーバーをブロックして、サーバーが一時的に応答できなくなる可能性があります。
  • 3.3.0
    • サポートされていないメソッドのオーバーライドの 404 応答は、クロスサイト・スクリプティングの攻撃を受ける可能性がありました。
Edit this page

AltStyle によって変換されたページ (->オリジナル) /