amirho/expressjs.com
1
0
Fork 0
mirror of https://github.com/expressjs/expressjs.com.git synced 2026-02-21 19:41:33 +00:00
Code Issues Packages Projects Releases Wiki Activity
Files
gh-pages
expressjs.com/fr/advanced/security-updates.md
github-actions[bot] e4004e1a0a i18n: new crowdin translations (#2064) 
Co-authored-by: Crowdin Bot <support+bot@crowdin.com>

Co-authored-by: bjohansebas <103585995+bjohansebas@users.noreply.github.com>
2025-12-13 21:43:55 -05:00

7.1 KiB
Raw Permalink Blame History

layout, title, description, menu, order, redirect_from
layout title description menu order redirect_from
page Express security updates Review the latest security updates and patches for Express.js, including detailed vulnerability lists for different versions to help maintain a secure application. advanced 2

Mises à jour de sécurité

Les vulnérabilités Node.js affectent directement Express. Cependant, [gardez un oeil sur les vulnérabilités Node.js](https://nodejs.org /en/blog/vulnerability/) et assurez-vous d'utiliser la dernière version stable de Node.js.

La liste ci-dessous répertorie les vulnérabilités Express qui ont été corrigées dans la mise à jour de la version spécifiée.

{% capture security-policy %} If you believe you have discovered a security vulnerability in Express, please see Security Policies and Procedures. {% endcapture %}

{% include admonitions/note.html content=security-policy %}

4.x

  • 4.21.2
    • The dependency path-to-regexp has been updated to address a vulnerability.
  • 4.21.1
    • The dependency cookie has been updated to address a vulnerability, This may affect your application if you use res.cookie.
  • 4.20.0
    • Fixed XSS vulnerability in res.redirect (advisory, CVE-2024-43796).
    • The dependency serve-static has been updated to address a vulnerability.
    • The dependency send has been updated to address a vulnerability.
    • The dependency path-to-regexp has been updated to address a vulnerability.
    • The dependency body-parser has been updated to addres a vulnerability, This may affect your application if you had url enconding activated.
  • 4.19.0, 4.19.1
  • 4.17.3
    • The dependency qs has been updated to address a vulnerability. This may affect your application if the following APIs are used: req.query, req.body, req.param.
  • 4.16.0
    • The dependency forwarded has been updated to address a vulnerability. This may affect your application if the following APIs are used: req.host, req.hostname, req.ip, req.ips, req.protocol.
    • The dependency mime has been updated to address a vulnerability, but this issue does not impact Express.
    • The dependency send has been updated to provide a protection against a Node.js 8.5.0 vulnerability. This only impacts running Express on the specific Node.js version 8.5.0.
  • 4.15.5
    • The dependency debug has been updated to address a vulnerability, but this issue does not impact Express.
    • The dependency fresh has been updated to address a vulnerability. This will affect your application if the following APIs are used: express.static, req.fresh, res.json, res.jsonp, res.send, res.sendfile res.sendFile, res.sendStatus.
  • 4.15.3
    • The dependency ms has been updated to address a vulnerability. This may affect your application if untrusted string input is passed to the maxAge option in the following APIs: express.static, res.sendfile, and res.sendFile.
  • 4.15.2
    • The dependency qs has been updated to address a vulnerability, but this issue does not impact Express. Updating to 4.15.2 is a good practice, but not required to address the vulnerability.
  • 4.11.1
    • Correction de la vulnérabilité de divulgation de racine dans express.static, res.sendfile et res.sendFile
  • 4.10.7
  • 4.8.8
    • Correction des vulnérabilités de traversée de répertoire dans express.static (advisory , CVE-2014-6394).
  • 4.8.4
    • Node.js 0.10 peut divulguer des fd dans certaines situations qui affectent express.static et res.sendfile. Des demandes malveillantes pouvaient entraîner la divulgation de fd, ainsi que des erreurs EMFILE et une absence de réponse du serveur.
  • 4.8.0
    • Les tableaux creux qui possèdent des index très élevés dans la chaîne de requête pouvaient entraîner la saturation de mémoire et la panne du serveur.
    • Les objets contenant des chaînes de requête extrêmement imbriquées pouvaient entraîner le blocage du processus et figer temporairement le serveur.

3.x

**Express 3.x N'EST PLUS PRIS EN CHARGE**

Les problèmes de performances et de sécurité connus et inconnus n'ont pas été traités depuis la dernière mise à jour (1er août 2015). Il est fortement recommandé d'utiliser la dernière version d'Express.

If you are unable to upgrade past 3.x, please consider [Commercial Support Options](/{{ page.lang }}/support#commercial-support-options).

  • 3.19.1
    • Correction de la vulnérabilité de divulgation de racine dans express.static, res.sendfile et res.sendFile
  • 3.19.0
  • 3.16.10
    • Correction des vulnérabilités de traversée de répertoire dans express.static.
  • 3.16.6
    • Node.js 0.10 peut divulguer des fd dans certaines situations qui affectent express.static et res.sendfile. Des demandes malveillantes pouvaient entraîner la divulgation de fd, ainsi que des erreurs EMFILE et une absence de réponse du serveur.
  • 3.16.0
    • Les tableaux creux qui possèdent des index très élevés dans la chaîne de requête pouvaient entraîner la saturation de mémoire et la panne du serveur.
    • Les objets contenant des chaînes de requête extrêmement imbriquées pouvaient entraîner le blocage du processus et figer temporairement le serveur.
  • 3.3.0
    • La réponse 404 à une tentative de substitution de méthode non prise en charge était susceptible d'entraîner des attaques de type cross-site scripting.