seguridadanuncios

Auditoría de Seguridad de Express.js: Un Logro Hito

Comité Técnico de Express
Comité Técnico de Express 22 de octubre de 2024

Estamos emocionados de anunciar la finalización exitosa de una auditoría de seguridad exhaustiva para Express.js, realizada por Ada Logics y facilitada por OSTIF. Esta revisión extensiva de nuestro framework y sus componentes principales marca un hito significativo en nuestro compromiso de asegurar la seguridad y confiabilidad de Express.js para nuestra comunidad.

Un Esfuerzo Colaborativo

Esta auditoría fue posible gracias a la colaboración entre el Grupo de Trabajo de Seguridad de Express, Ada Logics, OSTIF, y la OpenJS Foundation. Nuestro enfoque fue evaluar exhaustivamente el código base de Express.js, incluyendo sus dependencias y librerías principales. El objetivo principal era identificar cualquier vulnerabilidad de seguridad potencial y fortalecer la postura de seguridad general del framework.

Aspectos Destacados de la Auditoría

  • Duración de la auditoría: Realizada en abril y mayo de 2024.
  • Alcance: Código base principal de Express.js y dependencias críticas, como body-parser, basic-auth-connect, serve-static, y más.
  • Hallazgos: Se identificaron un total de 5 vulnerabilidades de seguridad, todas las cuales han sido abordadas y parchadas.
  • Severidad: Los problemas iban de severidad moderada a alta, impactando componentes como res.redirect y serve-static.

Una Mirada Detallada a los Hallazgos

La auditoría identificó varias vulnerabilidades, incluyendo riesgos potenciales de Cross-Site Scripting (XSS) y una vulnerabilidad de Denegación de Servicio (DoS) en el middleware body-parser. Aquí están los CVEs clave reportados:

  • CVE-2024-43796: XSS en res.redirect—corregido en versiones >= 4.20.0 y >= 5.0.0.
  • CVE-2024-45590: DoS en body-parser—parchado en versión >= 1.20.3.
  • CVE-2024-47178: Vulnerabilidad de temporización en basic-auth-connect—parchado en versión >= 1.1.0.
  • CVE-2024-43799: XSS en el módulo utilitario send—parchado en versión >= 0.19.0.
  • CVE-2024-43800: XSS en serve-static—corregido en versiones >= 1.16.0 y >= 2.1.0.

Cada una de estas vulnerabilidades fue abordada prontamente por nuestro dedicado equipo de triaje de seguridad, asegurando que los usuarios permanezcan protegidos contra amenazas conocidas.

Para detalles completos sobre los resultados de la auditoría, puedes acceder al reporte oficial de auditoría aquí.

Un Compromiso con la Transparencia y la Seguridad

En Express, la seguridad es una prioridad máxima, y creemos en la importancia de la transparencia cuando se trata de vulnerabilidades y su resolución. Esta auditoría no solo destaca nuestro enfoque proactivo sino que también refuerza nuestro compromiso continuo con construir un framework web seguro para todos.

Recomendamos encarecidamente a todos los usuarios actualizar a las últimas versiones de los paquetes afectados para beneficiarse de las recientes correcciones de seguridad. Para más información sobre los parches y cómo actualizar, por favor refiérete a nuestro anuncio de la Versión de Seguridad de Septiembre 2024.

Palabras de Agradecimiento

Esta auditoría no habría sido posible sin los esfuerzos y la experiencia de muchas personas y organizaciones. Queremos extender nuestro agradecimiento a:

  • Al equipo de Ada Logics por su diligente revisión y perspectivas.
  • A OSTIF por su coordinación y apoyo durante todo el proceso de auditoría.
  • A la OpenJS Foundation por patrocinar esta importante iniciativa.
  • A nuestra comunidad de Express.js, que sigue apoyándonos y confiando en nosotros con sus proyectos.
  • A Jordan Harband por su increíble apoyo mientras necesitábamos cambios en qs.

Juntos, hemos hecho Express.js más fuerte, más resiliente y listo para los desafíos que vienen. Esperamos seguir sirviendo a nuestra comunidad con un enfoque en la excelencia y la seguridad.

¡Gracias por ser parte de este viaje con nosotros!

¿Interesado en escribir una publicación? Revisa nuestras directrices para empezar.

Leer las directrices