Express

Esta tradução fornecida pelo StrongLoop / IBM.

Este documento pode estar desatualizado em relação à documentação em Inglês. Para obter as atualizações mais recentes, consulte a documentação em Inglês.

✖

Atualizações de segurança

As vulnerabilidades do Node.js afetam diretamente o Express. Portanto fique atento às vulnerabilidades do Node.js e certifique-se de que você está usando a versão estável mais recente do Node.js.

A lista abaixo enumera as vulnerabilidades do Express que foram corrigidas na versão da atualização especificadas.

4.x

4.11.1
- Corrigida a vulnerabilidade de divulgação do caminho raiz no express.static, res.sendfile, e res.sendFile
4.10.7
- Corrigida a vulnerabilidade de redirecionamento aberto no express.static (recomendação, CVE-2015-1164).
4.8.8
- Corrigida a vulnerabilidade de travessia de diretório no express.static (recomendação, CVE-2014-6394).
4.8.4
- O Node.js 0.10 pode vazar os fds em certas situações que afetam o express.static e o res.sendfile. Solicitações maliciosas podem causar os fds a vazar e eventualmente levar a erros de EMFILE e servidores sem capacidade de resposta.
4.8.0
- Matrizes esparsas que possuem índices extremamente altos na sequência de consulta podem fazer com que o processo sofra um esgotamento de memória e derrubar o servidor.
- Objetos de sequência de consulta extremamente aninhados podem fazer com que o processo fique bloqueado e o servidor temporariamente não responsivo.

3.x

3.19.1
- Corrigida a vulnerabilidade de divulgação do caminho raiz no express.static, res.sendfile, e res.sendFile
3.19.0
- Corrigida a vulnerabilidade de redirecionamento aberto no express.static (recomendação, CVE-2015-1164).
3.16.10
- Corrigida a vulnerabilidade de travessia de diretório no express.static.
3.16.6
- O Node.js 0.10 pode vazar os fds em certas situações que afetam o express.static e o res.sendfile. Solicitações maliciosas podem causar os fds a vazar e eventualmente levar a erros de EMFILE e servidores sem capacidade de resposta.
3.16.0
- Matrizes esparsas que possuem índices extremamente altos na sequência de consulta podem fazer com que o processo sofra um esgotamento de memória e derrubar o servidor.
- Objetos de sequência de consulta extremamente aninhados podem fazer com que o processo fique bloqueado e o servidor temporariamente não responsivo.
3.3.0
- A resposta 404 de uma tentativa de substituição de um método não suportado era suscetível a ataques de cross-site scripting.