安全更新
Node.js 的漏洞會直接影響 Express。因此,請隨時監看 Node.js 漏洞,並確保您所用的是最新的 Node.js 穩定版本。
以下列舉已在指定的版本更新中修正的 Express 漏洞。
4.x
- 4.11.1
- 已修正
express.static、res.sendfile和res.sendFile中的根路徑揭露漏洞
- 已修正
- 4.10.7
- 已修正
express.static(諮詢、CVE-2015-1164)中的開放重新導向漏洞。
- 已修正
- 4.8.8
- 已修正
express.static(諮詢、CVE-2014-6394)中的目錄遍訪漏洞。
- 已修正
- 4.8.4
- 在某些情況下,Node.js 0.10 可能洩漏
fd,而影響express.static和res.sendfile。惡意的要求可能造成fd洩漏,最後導致EMFILE錯誤和伺服器無回應。
- 在某些情況下,Node.js 0.10 可能洩漏
- 4.8.0
- 如果稀疏陣列在查詢字串中的索引過多,可能導致程序耗盡記憶體,而使伺服器當機。
- 巢狀過深的查詢字串物件可能造成程序封鎖,使伺服器暫時沒有回應。
3.x
- 3.19.1
- 已修正
express.static、res.sendfile和res.sendFile中的根路徑揭露漏洞
- 已修正
- 3.19.0
- 已修正
express.static(諮詢、CVE-2015-1164)中的開放重新導向漏洞。
- 已修正
- 3.16.10
- 已修正
express.static中的目錄遍訪漏洞。
- 已修正
- 3.16.6
- 在某些情況下,Node.js 0.10 可能洩漏
fd,而影響express.static和res.sendfile。惡意的要求可能造成fd洩漏,最後導致EMFILE錯誤和伺服器無回應。
- 在某些情況下,Node.js 0.10 可能洩漏
- 3.16.0
- 如果稀疏陣列在查詢字串中的索引過多,可能導致程序耗盡記憶體,而使伺服器當機。
- 巢狀過深的查詢字串物件可能造成程序封鎖,使伺服器暫時沒有回應。
- 3.3.0
- 404 回應(試圖進行不支援的方法置換)容易受到跨網站 Scripting 攻擊。