Node.js漏洞直接影響Express。因此，請(qǐng)留意Node.js漏洞并確保您使用的是最新的穩(wěn)定版本的Node.js。

以下列表列舉了指定版本更新中修復(fù)的Express漏洞。

注意：如果您認(rèn)為您發(fā)現(xiàn)了Express中的安全漏洞，請(qǐng)參閱安全策略和過程。

4.x

• 4.16.0

• 依賴項(xiàng)forwarded已更新以解決漏洞。這可能會(huì)影響您的應(yīng)用程序是否使用了下列API： ，req.host，req.hostname，req.ip，。req.ipsreq.protocol

• 依賴項(xiàng)mime已更新以解決漏洞，但此問題不會(huì)影響Express。

• 依賴項(xiàng)send已更新，以提供針對(duì)Node.js 8.5.0漏洞的保護(hù)。這僅影響在特定Node.js 8.5.0版上運(yùn)行Express。

• 4.15.5

• 依賴項(xiàng)debug已更新以解決漏洞，但此問題不會(huì)影響Express。

• 依賴項(xiàng)fresh已更新以解決漏洞。這會(huì)影響你的應(yīng)用程序是否使用了下列API： ，express.static，req.fresh，res.json，res.jsonp，res.send，。res.sendfile res.sendFileres.sendStatus

• 4.15.3

• 依賴項(xiàng)ms已更新以解決漏洞。如果不受信任的字符串輸入被傳遞到這可能會(huì)影響你的應(yīng)用程序maxAge中以下API選項(xiàng)：express.static，res.sendfile，和res.sendFile。

• 4.15.2

• 依賴項(xiàng)qs已更新以解決漏洞，但此問題不會(huì)影響Express。更新到4.15.2是一種很好的做法，但不是解決此漏洞所必需的。

• 4.11.1

• 固定根路徑泄露漏洞express.static，res.sendfile以及res.sendFile

• 4.10.7

• 修復(fù)了express.static（Advisory，CVE-2015-1164）中的開放式重定向漏洞。

• 4.8.8

• 修復(fù)了express.static（advisory，CVE-2014-6394）中的目錄遍歷漏洞。

• 4.8.4

• Node.js 0.10 fd在某些情況下會(huì)泄漏s，express.static并影響和res.sendfile。惡意請(qǐng)求可能導(dǎo)致fds泄漏并最終導(dǎo)致EMFILE錯(cuò)誤和服務(wù)器無響應(yīng)。

• 4.8.0

• 在查詢字符串中具有極高索引的稀疏數(shù)組可能會(huì)導(dǎo)致進(jìn)程耗盡內(nèi)存并使服務(wù)器崩潰。

• 極其嵌套的查詢字符串對(duì)象可能會(huì)導(dǎo)致進(jìn)程阻塞，并使服務(wù)器暫時(shí)無響應(yīng)。

3.x

Express 3.x不再維護(hù)

自上次更新（2015年8月1日）以來，尚未解決3.x中已知和未知的安全問題。使用3.x行不應(yīng)該被認(rèn)為是安全的。

• 3.19.1

• 固定根路徑泄露漏洞express.static，res.sendfile以及res.sendFile

• 3.19.0

• 修復(fù)了express.static（Advisory，CVE-2015-1164）中的開放式重定向漏洞。

• 3.16.10

• 修復(fù)了目錄遍歷漏洞express.static。

• 3.16.6

• Node.js 0.10 fd在某些情況下會(huì)泄漏，express.static并影響和res.sendfile。惡意請(qǐng)求可能導(dǎo)致fds泄漏并最終導(dǎo)致EMFILE錯(cuò)誤和服務(wù)器無響應(yīng)。

• 3.16.0

• 在查詢字符串中具有極高索引的稀疏數(shù)組可能會(huì)導(dǎo)致進(jìn)程耗盡內(nèi)存并導(dǎo)致服務(wù)器崩潰。

• 極其嵌套的查詢字符串對(duì)象可能會(huì)導(dǎo)致進(jìn)程阻塞，并使服務(wù)器暫時(shí)無響應(yīng)。

• 3.3.0

• 不支持的方法覆蓋嘗試的404響應(yīng)容易受到跨站腳本攻擊的影響。