Node.js 漏洞會直接影響 Express。因此,請注意 Node.js 漏洞,並確認您使用的是 Node.js 的最新穩定版本。
下表列舉了在指定版本更新中已修正的 Express 漏洞。
注意:如果您認為您已發現 Express 中的安全漏洞,請參閱 安全政策和程序。
forwarded 以解決 漏洞。如果使用下列 API,這可能會影響您的應用程式:req.host、req.hostname、req.ip、req.ips、req.protocol。mime 以解決 漏洞,但此問題不會影響 Express。send 相依性已更新,提供防護措施,以避免 Node.js 8.5.0 漏洞。這只會影響在特定 Node.js 版本 8.5.0 上執行 Express。ms 相依性已更新,以解決 漏洞。如果將不受信任的字串輸入傳遞給下列 API 中的 maxAge 選項,這可能會影響您的應用程式:express.static、res.sendfile 和 res.sendFile。qs 相依性已更新,以解決 漏洞,但此問題不會影響 Express。更新至 4.15.2 是個好習慣,但並非解決漏洞的必要條件。express.static、res.sendfile 和 res.sendFile 中的根路徑揭露漏洞express.static 中的開放式重新導向漏洞(公告、CVE-2015-1164)。express.static 中的目錄穿越漏洞(公告、CVE-2014-6394)。express.static 和 res.sendfile 的情況下,可能會洩漏 fd。惡意要求可能會導致 fd 洩漏,並最終導致 EMFILE 錯誤和伺服器無回應。Express 3.x 已不再維護
自上次更新 (2015 年 8 月 1 日) 以來,3.x 中已知和未知的安全問題尚未解決。使用 3.x 系列應視為不安全。
express.static、res.sendfile 和 res.sendFile 中的根路徑揭露漏洞express.static 中的開放式重新導向漏洞(公告、CVE-2015-1164)。express.static 中的目錄穿越漏洞。express.static 和 res.sendfile 的情況下,可能會洩漏 fd。惡意要求可能會導致 fd 洩漏,並最終導致 EMFILE 錯誤和伺服器無回應。