Actualizaciones de seguridad
Precaución
Las vulnerabilidades de Node.js afectan directamente a Express. Por lo tanto, mantente atento a las vulnerabilidades de Node.js y asegúrate de estar usando la última versión estable de Node.js.
La lista a continuación enumera las vulnerabilidades de Express que fueron corregidas en la actualización de versión especificada.
Nota
Si crees que has descubierto una vulnerabilidad de seguridad en Express, consulta Security Policies and Procedures.
4.x
- 4.21.2
- La dependencia
path-to-regexpha sido actualizada para corregir una vulnerabilidad.
- La dependencia
- 4.21.1
- La dependencia
cookieha sido actualizada para corregir una vulnerabilidad. Esto puede afectar tu aplicación si usasres.cookie.
- La dependencia
- 4.20.0
- Corregida vulnerabilidad XSS en
res.redirect(aviso, CVE-2024-43796). - La dependencia
serve-staticha sido actualizada para corregir una vulnerabilidad. - La dependencia
sendha sido actualizada para corregir una vulnerabilidad. - La dependencia
path-to-regexpha sido actualizada para corregir una vulnerabilidad. - La dependencia
body-parserha sido actualizada para corregir una vulnerabilidad. Esto puede afectar tu aplicación si tenías activada la codificación URL.
- Corregida vulnerabilidad XSS en
- 4.19.0, 4.19.1
- Corregida vulnerabilidad de redirección abierta en
res.locationyres.redirect(aviso, CVE-2024-29041).
- Corregida vulnerabilidad de redirección abierta en
- 4.17.3
- La dependencia
qsha sido actualizada para corregir una vulnerabilidad. Esto puede afectar tu aplicación si se usan las siguientes APIs:req.query,req.body,req.param.
- La dependencia
- 4.16.0
- La dependencia
forwardedha sido actualizada para corregir una vulnerabilidad. Esto puede afectar tu aplicación si se usan las siguientes APIs:req.host,req.hostname,req.ip,req.ips,req.protocol. - La dependencia
mimeha sido actualizada para corregir una vulnerabilidad, pero este problema no afecta a Express. - La dependencia
sendha sido actualizada para proporcionar protección contra una vulnerabilidad de Node.js 8.5.0. Esto solo afecta a Express cuando se ejecuta en la versión específica 8.5.0 de Node.js.
- La dependencia
- 4.15.5
- La dependencia
debugha sido actualizada para corregir una vulnerabilidad, pero este problema no afecta a Express. - La dependencia
freshha sido actualizada para corregir una vulnerabilidad. Esto afectará tu aplicación si se usan las siguientes APIs:express.static,req.fresh,res.json,res.jsonp,res.send,res.sendfileres.sendFile,res.sendStatus.
- La dependencia
- 4.15.3
- La dependencia
msha sido actualizada para corregir una vulnerabilidad. Esto puede afectar tu aplicación si se pasa entrada de cadena no confiable a la opciónmaxAgeen las siguientes APIs:express.static,res.sendfile, yres.sendFile.
- La dependencia
- 4.15.2
- La dependencia
qsha sido actualizada para corregir una vulnerabilidad, pero este problema no afecta a Express. Actualizar a 4.15.2 es una buena práctica, pero no es necesario para corregir la vulnerabilidad.
- La dependencia
- 4.11.1
- Corregida vulnerabilidad de divulgación de ruta raíz en
express.static,res.sendfile, yres.sendFile
- Corregida vulnerabilidad de divulgación de ruta raíz en
- 4.10.7
- Corregida vulnerabilidad de redirección abierta en
express.static(aviso, CVE-2015-1164).
- Corregida vulnerabilidad de redirección abierta en
- 4.8.8
- Corregidas vulnerabilidades de recorrido de directorios en
express.static(aviso , CVE-2014-6394).
- Corregidas vulnerabilidades de recorrido de directorios en
- 4.8.4
- Node.js 0.10 puede filtrar
fds en ciertas situaciones que afectan aexpress.staticyres.sendfile. Solicitudes maliciosas podrían causar que losfds se filtren y eventualmente llevar a erroresEMFILEy falta de respuesta del servidor.
- Node.js 0.10 puede filtrar
- 4.8.0
- Arreglos dispersos con índices extremadamente altos en la cadena de consulta podrían causar que el proceso se quede sin memoria y el servidor se caiga.
- Objetos extremadamente anidados en la cadena de consulta podrían causar que el proceso se bloquee y que el servidor quede temporalmente sin respuesta.
3.x
Advertencia
Express 3.x ESTÁ AL FINAL DE SU VIDA ÚTIL Y YA NO SE MANTIENE
Problemas de seguridad y rendimiento conocidos y desconocidos en 3.x no han sido abordados desde la última actualización (1 de agosto de 2015). Se recomienda encarecidamente usar la última versión de Express.
Si no puedes actualizar más allá de 3.x, considera las Opciones de soporte comercial.
- 3.19.1
- Corregida vulnerabilidad de divulgación de ruta raíz en
express.static,res.sendfile, yres.sendFile
- Corregida vulnerabilidad de divulgación de ruta raíz en
- 3.19.0
- Corregida vulnerabilidad de redirección abierta en
express.static(aviso, CVE-2015-1164).
- Corregida vulnerabilidad de redirección abierta en
- 3.16.10
- Corregidas vulnerabilidades de recorrido de directorios en
express.static.
- Corregidas vulnerabilidades de recorrido de directorios en
- 3.16.6
- Node.js 0.10 puede filtrar
fds en ciertas situaciones que afectan aexpress.staticyres.sendfile. Solicitudes maliciosas podrían causar que losfds se filtren y eventualmente llevar a erroresEMFILEy falta de respuesta del servidor.
- Node.js 0.10 puede filtrar
- 3.16.0
- Arreglos dispersos con índices extremadamente altos en la cadena de consulta podrían causar que el proceso se quede sin memoria y el servidor se caiga.
- Objetos extremadamente anidados en la cadena de consulta podrían causar que el proceso se bloquee y que el servidor quede temporalmente sin respuesta.
- 3.3.0
- La respuesta 404 de un intento de sobrescritura de método no soportado era susceptible a ataques de cross-site scripting.