Node.js 漏洞会直接影响 Express。因此,关注 Node.js 漏洞,并确保使用的是最新稳定版本的 Node.js。
以下列表列出了在指定版本更新中修复的 Express 漏洞。
注意:如果您认为已发现 Express 中的安全漏洞,请参阅安全政策和程序。
forwarded 以解决漏洞。如果使用以下 API,这可能会影响您的应用程序:req.host、req.hostname、req.ip、req.ips、req.protocol。mime 以解决漏洞,但此问题不会影响 Express。send 以提供针对Node.js 8.5.0 漏洞的保护。这仅影响在特定 Node.js 版本 8.5.0 上运行 Express。ms 依赖项已更新以解决 漏洞。如果将不受信任的字符串输入传递给以下 API 中的 maxAge 选项,这可能会影响您的应用程序:express.static、res.sendfile 和 res.sendFile。qs 依赖项已更新以解决 漏洞,但此问题不会影响 Express。更新到 4.15.2 是一种良好的做法,但不是解决漏洞的必需步骤。express.static、res.sendfile 和 res.sendFile 中的根路径泄露漏洞express.static 中的开放式重定向漏洞(通告,CVE-2015-1164)。express.static 中的目录遍历漏洞(通告,CVE-2014-6394)。fd,这会影响 express.static 和 res.sendfile。恶意请求可能导致 fd 泄露,并最终导致 EMFILE 错误和服务器无响应。Express 3.x 已不再维护
自上次更新(2015 年 8 月 1 日)以来,3.x 中已知和未知的安全问题尚未得到解决。使用 3.x 系列不应被视为安全。
express.static、res.sendfile 和 res.sendFile 中的根路径泄露漏洞express.static 中的开放式重定向漏洞(通告,CVE-2015-1164)。express.static 中的目录遍历漏洞。fd,这会影响 express.static 和 res.sendfile。恶意请求可能导致 fd 泄露,并最终导致 EMFILE 错误和服务器无响应。