Editar en GitHub

Actualizaciones de seguridad

Precaución

Las vulnerabilidades de Node.js afectan directamente a Express. Por lo tanto, mantente atento a las vulnerabilidades de Node.js y asegúrate de estar usando la última versión estable de Node.js.

La lista a continuación enumera las vulnerabilidades de Express que fueron corregidas en la actualización de versión especificada.

Nota

Si crees que has descubierto una vulnerabilidad de seguridad en Express, consulta Security Policies and Procedures.

4.x

  • 4.21.2
    • La dependencia path-to-regexp ha sido actualizada para corregir una vulnerabilidad.
  • 4.21.1
    • La dependencia cookie ha sido actualizada para corregir una vulnerabilidad. Esto puede afectar tu aplicación si usas res.cookie.
  • 4.20.0
    • Corregida vulnerabilidad XSS en res.redirect (aviso, CVE-2024-43796).
    • La dependencia serve-static ha sido actualizada para corregir una vulnerabilidad.
    • La dependencia send ha sido actualizada para corregir una vulnerabilidad.
    • La dependencia path-to-regexp ha sido actualizada para corregir una vulnerabilidad.
    • La dependencia body-parser ha sido actualizada para corregir una vulnerabilidad. Esto puede afectar tu aplicación si tenías activada la codificación URL.
  • 4.19.0, 4.19.1
    • Corregida vulnerabilidad de redirección abierta en res.location y res.redirect (aviso, CVE-2024-29041).
  • 4.17.3
    • La dependencia qs ha sido actualizada para corregir una vulnerabilidad. Esto puede afectar tu aplicación si se usan las siguientes APIs: req.query, req.body, req.param.
  • 4.16.0
    • La dependencia forwarded ha sido actualizada para corregir una vulnerabilidad. Esto puede afectar tu aplicación si se usan las siguientes APIs: req.host, req.hostname, req.ip, req.ips, req.protocol.
    • La dependencia mime ha sido actualizada para corregir una vulnerabilidad, pero este problema no afecta a Express.
    • La dependencia send ha sido actualizada para proporcionar protección contra una vulnerabilidad de Node.js 8.5.0. Esto solo afecta a Express cuando se ejecuta en la versión específica 8.5.0 de Node.js.
  • 4.15.5
    • La dependencia debug ha sido actualizada para corregir una vulnerabilidad, pero este problema no afecta a Express.
    • La dependencia fresh ha sido actualizada para corregir una vulnerabilidad. Esto afectará tu aplicación si se usan las siguientes APIs: express.static, req.fresh, res.json, res.jsonp, res.send, res.sendfile res.sendFile, res.sendStatus.
  • 4.15.3
    • La dependencia ms ha sido actualizada para corregir una vulnerabilidad. Esto puede afectar tu aplicación si se pasa entrada de cadena no confiable a la opción maxAge en las siguientes APIs: express.static, res.sendfile, y res.sendFile.
  • 4.15.2
    • La dependencia qs ha sido actualizada para corregir una vulnerabilidad, pero este problema no afecta a Express. Actualizar a 4.15.2 es una buena práctica, pero no es necesario para corregir la vulnerabilidad.
  • 4.11.1
    • Corregida vulnerabilidad de divulgación de ruta raíz en express.static, res.sendfile, y res.sendFile
  • 4.10.7
    • Corregida vulnerabilidad de redirección abierta en express.static (aviso, CVE-2015-1164).
  • 4.8.8
    • Corregidas vulnerabilidades de recorrido de directorios en express.static (aviso , CVE-2014-6394).
  • 4.8.4
    • Node.js 0.10 puede filtrar fds en ciertas situaciones que afectan a express.static y res.sendfile. Solicitudes maliciosas podrían causar que los fds se filtren y eventualmente llevar a errores EMFILE y falta de respuesta del servidor.
  • 4.8.0
    • Arreglos dispersos con índices extremadamente altos en la cadena de consulta podrían causar que el proceso se quede sin memoria y el servidor se caiga.
    • Objetos extremadamente anidados en la cadena de consulta podrían causar que el proceso se bloquee y que el servidor quede temporalmente sin respuesta.

3.x

Advertencia

Express 3.x ESTÁ AL FINAL DE SU VIDA ÚTIL Y YA NO SE MANTIENE

Problemas de seguridad y rendimiento conocidos y desconocidos en 3.x no han sido abordados desde la última actualización (1 de agosto de 2015). Se recomienda encarecidamente usar la última versión de Express.

Si no puedes actualizar más allá de 3.x, considera las Opciones de soporte comercial.

  • 3.19.1
    • Corregida vulnerabilidad de divulgación de ruta raíz en express.static, res.sendfile, y res.sendFile
  • 3.19.0
    • Corregida vulnerabilidad de redirección abierta en express.static (aviso, CVE-2015-1164).
  • 3.16.10
    • Corregidas vulnerabilidades de recorrido de directorios en express.static.
  • 3.16.6
    • Node.js 0.10 puede filtrar fds en ciertas situaciones que afectan a express.static y res.sendfile. Solicitudes maliciosas podrían causar que los fds se filtren y eventualmente llevar a errores EMFILE y falta de respuesta del servidor.
  • 3.16.0
    • Arreglos dispersos con índices extremadamente altos en la cadena de consulta podrían causar que el proceso se quede sin memoria y el servidor se caiga.
    • Objetos extremadamente anidados en la cadena de consulta podrían causar que el proceso se bloquee y que el servidor quede temporalmente sin respuesta.
  • 3.3.0
    • La respuesta 404 de un intento de sobrescritura de método no soportado era susceptible a ataques de cross-site scripting.