Atualizações de segurança
As vulnerabilidades do Node.js afetam diretamente o Express. Portanto fique atento às vulnerabilidades do Node.js e certifique-se de que você está usando a versão estável mais recente do Node.js.
A lista abaixo enumera as vulnerabilidades do Express que foram corrigidas na versão da atualização especificadas.
4.x
- 4.11.1
- Corrigida a vulnerabilidade de divulgação do caminho
raiz no
express.static,res.sendfile, eres.sendFile
- Corrigida a vulnerabilidade de divulgação do caminho
raiz no
- 4.10.7
- Corrigida a vulnerabilidade de redirecionamento aberto
no
express.static(recomendação, CVE-2015-1164).
- Corrigida a vulnerabilidade de redirecionamento aberto
no
- 4.8.8
- Corrigida a vulnerabilidade de travessia de diretório no
express.static(recomendação, CVE-2014-6394).
- Corrigida a vulnerabilidade de travessia de diretório no
- 4.8.4
- O Node.js 0.10 pode vazar os
fds em certas situações que afetam oexpress.statice ores.sendfile. Solicitações maliciosas podem causar osfds a vazar e eventualmente levar a erros deEMFILEe servidores sem capacidade de resposta.
- O Node.js 0.10 pode vazar os
- 4.8.0
- Matrizes esparsas que possuem índices extremamente altos na sequência de consulta podem fazer com que o processo sofra um esgotamento de memória e derrubar o servidor.
- Objetos de sequência de consulta extremamente aninhados podem fazer com que o processo fique bloqueado e o servidor temporariamente não responsivo.
3.x
- 3.19.1
- Corrigida a vulnerabilidade de divulgação do caminho raiz no
express.static,res.sendfile, eres.sendFile
- Corrigida a vulnerabilidade de divulgação do caminho raiz no
- 3.19.0
- Corrigida a vulnerabilidade de redirecionamento aberto no
express.static(recomendação, CVE-2015-1164).
- Corrigida a vulnerabilidade de redirecionamento aberto no
- 3.16.10
- Corrigida a vulnerabilidade de travessia de diretório no
express.static.
- Corrigida a vulnerabilidade de travessia de diretório no
- 3.16.6
- O Node.js 0.10 pode vazar os
fds em certas situações que afetam oexpress.statice ores.sendfile. Solicitações maliciosas podem causar osfds a vazar e eventualmente levar a erros deEMFILEe servidores sem capacidade de resposta.
- O Node.js 0.10 pode vazar os
- 3.16.0
- Matrizes esparsas que possuem índices extremamente altos na sequência de consulta podem fazer com que o processo sofra um esgotamento de memória e derrubar o servidor.
- Objetos de sequência de consulta extremamente aninhados podem fazer com que o processo fique bloqueado e o servidor temporariamente não responsivo.
- 3.3.0
- A resposta 404 de uma tentativa de substituição de um método não suportado era suscetível a ataques de cross-site scripting.