Node.js 漏洞直接影响 Express。 因此 密切关注 Node.js 漏洞 并确保您使用的是最新稳定版本的 Node.js。
下面的列表列举了指定版本更新中修复的 Express 漏洞。
注意: 如果您认为您在 Express 中发现了安全漏洞,请参阅 安全政策和程序。
forwarded 以解决 vulnerability。 如果使用以下 API,这可能会影响您的应用程序: req.host、req.hostname、req.ip、req.ips、req.protocol。mime 已更新以解决 vulnerability,但此问题不会影响 Express。send 以提供针对 Node.js 8.5.0 漏洞 的保护。 这只会影响在特定 Node.js 版本 8.5.0 上运行 Express。debug 已更新以解决 vulnerability,但此问题不会影响 Express。fresh 以解决 vulnerability。 如果使用以下 API,这将影响您的应用程序: express.static、req.fresh、res.json、res.jsonp、res.send、res.sendfile、res.sendFile、res.sendStatus。ms 以解决 vulnerability。 如果将不受信任的字符串输入传递给以下 API 中的 maxAge 选项,这可能会影响您的应用程序: express.static、res.sendfile 和 res.sendFile。qs 已更新以解决 vulnerability,但此问题不会影响 Express。 更新到 4.15.2 是一个很好的做法,但不是解决漏洞所必需的。express.static、res.sendfile 和 res.sendFile 中的根路径泄露漏洞express.static(advisory、CVE-2015-1164)中的开放重定向漏洞。express.static(advisory、CVE-2014-6394)中的目录遍历漏洞。express.static 和 res.sendfile 的某些情况下泄漏 fd。 恶意请求可能会导致 fd 泄漏并最终导致 EMFILE 错误和服务器无响应。不再维护 Express 3.x
自上次更新(2015 年 8 月 1 日)以来,3.x 中已知和未知的安全问题尚未得到解决。 使用 3.x 行不应被认为是安全的。
express.static、res.sendfile 和 res.sendFile 中的根路径泄露漏洞express.static(advisory、CVE-2015-1164)中的开放重定向漏洞。express.static 中的目录遍历漏洞。express.static 和 res.sendfile 的某些情况下泄漏 fd。 恶意请求可能会导致 fd 泄漏并最终导致 EMFILE 错误和服务器无响应。