Node.js 漏洞直接影响 Express。 因此 密切关注 Node.js 漏洞 并确保您使用的是最新稳定版本的 Node.js。
下面的列表列举了指定版本更新中修复的 Express 漏洞。
注意: 如果您认为您在 Express 中发现了安全漏洞,请参阅 安全政策和程序。
forwarded
以解决 vulnerability。 如果使用以下 API,这可能会影响您的应用程序: req.host
、req.hostname
、req.ip
、req.ips
、req.protocol
。mime
已更新以解决 vulnerability,但此问题不会影响 Express。send
以提供针对 Node.js 8.5.0 漏洞 的保护。 这只会影响在特定 Node.js 版本 8.5.0 上运行 Express。debug
已更新以解决 vulnerability,但此问题不会影响 Express。fresh
以解决 vulnerability。 如果使用以下 API,这将影响您的应用程序: express.static
、req.fresh
、res.json
、res.jsonp
、res.send
、res.sendfile
、res.sendFile
、res.sendStatus
。ms
以解决 vulnerability。 如果将不受信任的字符串输入传递给以下 API 中的 maxAge
选项,这可能会影响您的应用程序: express.static
、res.sendfile
和 res.sendFile
。qs
已更新以解决 vulnerability,但此问题不会影响 Express。 更新到 4.15.2 是一个很好的做法,但不是解决漏洞所必需的。express.static
、res.sendfile
和 res.sendFile
中的根路径泄露漏洞express.static
(advisory、CVE-2015-1164)中的开放重定向漏洞。express.static
(advisory、CVE-2014-6394)中的目录遍历漏洞。express.static
和 res.sendfile
的某些情况下泄漏 fd
。 恶意请求可能会导致 fd
泄漏并最终导致 EMFILE
错误和服务器无响应。不再维护 Express 3.x
自上次更新(2015 年 8 月 1 日)以来,3.x 中已知和未知的安全问题尚未得到解决。 使用 3.x 行不应被认为是安全的。
express.static
、res.sendfile
和 res.sendFile
中的根路径泄露漏洞express.static
(advisory、CVE-2015-1164)中的开放重定向漏洞。express.static
中的目录遍历漏洞。express.static
和 res.sendfile
的某些情况下泄漏 fd
。 恶意请求可能会导致 fd
泄漏并最终导致 EMFILE
错误和服务器无响应。