Node.js の脆弱性は Express に直接影響します。そのため、Node.js の脆弱性に注意を払い、最新安定版の Node.js を使用していることを確認してください。
以下のリストは、指定されたバージョンアップデートで修正された Express の脆弱性を列挙しています。
注記: Express にセキュリティ上の脆弱性が見つかったと思われる場合は、セキュリティポリシーと手順をご覧ください。
forwarded が、脆弱性に対処するために更新されました。以下の API を使用している場合、アプリケーションに影響する可能性があります: req.host、req.hostname、req.ip、req.ips、req.protocol。mime が、脆弱性に対処するために更新されましたが、この問題は Express には影響しません。send が、Node.js 8.5.0 の脆弱性に対する保護を提供するために更新されました。これは、特定の Node.js バージョン 8.5.0 で Express を実行している場合にのみ影響します。ms が、脆弱性に対処するために更新されました。以下の API の maxAge オプションに信頼できない文字列入力が渡された場合、アプリケーションに影響する可能性があります: express.static、res.sendfile、および res.sendFile。qs が、脆弱性に対処するために更新されましたが、この問題は Express には影響しません。4.15.2 への更新は良い習慣ですが、脆弱性に対処するために必須ではありません。express.static、res.sendfile、および res.sendFile におけるルートパス開示の脆弱性を修正しました。express.static におけるオープンリダイレクトの脆弱性を修正しました(アドバイザリ、CVE-2015-1164)。express.static におけるディレクトリトラバーサルの脆弱性を修正しました(アドバイザリ、CVE-2014-6394)。express.static と res.sendfile に影響する特定の状況で fd をリークする可能性があります。悪意のあるリクエストにより、fd がリークし、最終的に EMFILE エラーが発生してサーバーが応答しなくなる可能性があります。Express 3.x は、もはやメンテナンスされていません
3.x の既知および未知のセキュリティ問題は、最後の更新(2015年8月1日)以降対処されていません。3.x ラインの使用は安全とは見なされません。
express.static、res.sendfile、および res.sendFile におけるルートパス開示の脆弱性を修正しました。express.static におけるオープンリダイレクトの脆弱性を修正しました(アドバイザリ、CVE-2015-1164)。express.static におけるディレクトリトラバーサルの脆弱性を修正しました。express.static と res.sendfile に影響する特定の状況で fd をリークする可能性があります。悪意のあるリクエストにより、fd がリークし、最終的に EMFILE エラーが発生してサーバーが応答しなくなる可能性があります。