发布日期：2024-10-29
更新日期：2024-11-11

受影响系统：

Express.js Express.js <= 3.21.2

描述：

---

CVE(CAN) ID: CVE-2024-10491

Express.js是expressjs开源的一个 Node.js 的快速、无限制、极简的web框架。
Express.js 3.21.2及之前版本存在任意资源注入漏洞，该漏洞源于response.links函数使用未经审核的数据时，攻击者可利用该漏洞在Link标头中注入任意资源。

<**>

建议：

---

厂商补丁：

Express.js
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/expressjs/express/releases/tag/4.21.1

浏览次数：166
严重程度：0（网友投票）