Node.js & Express Security Vulnerabilities in 2026: 16 CVEs, Node 20 EOL & Complete Hardening GuideVulnérabilités Node.js & Express en 2026 : 16 CVE, EOL Node 20 & Guide de Durcissement Complet

The fix in Node.js 20.20.2+ creates headersDistinct and trailersDistinct using Object.create(null), a null-prototype object that has no prototype chain and therefore cannot be polluted via __proto__. If your application never accesses req.headersDistinct directly, you were not exposed — but frameworks like Express may access it internally.

Le correctif dans Node.js 20.20.2+ crée headersDistinct et trailersDistinct via Object.create(null), un objet sans prototype qui ne peut donc pas être pollué via __proto__. Si votre application n'accède jamais directement à req.headersDistinct, vous n'êtiez pas exposé — mais des frameworks comme Express peuvent y accéder en interne.

Express March 2026 Security Release: path-to-regexp ReDoS Returns

Release de Sécurité Express Mars 2026 : Le ReDoS de path-to-regexp Est de Retour

On March 30, 2026, the Express team published a security release addressing three regular expression denial of service vulnerabilities in path-to-regexp — the routing library used by every Express.js application. This is the third time in 18 months that path-to-regexp has been hit by ReDoS. The two new CVEs affect different version branches of the library.

Le 30 mars 2026, l'équipe Express a publié une release de sécurité corrigeant trois vulnérabilités de déni de service par expression régulière dans path-to-regexp — la bibliothèque de routage utilisée par toutes les applications Express.js. C'est la troisième fois en 18 mois que path-to-regexp est touché par un ReDoS. Les deux nouveaux CVE affectent différentes branches de la bibliothèque.

CVE-2026-4867: 3+ Route Parameters Trigger Catastrophic Backtracking

CVE-2026-4867 : 3 Paramètres de Route ou Plus Déclenchent un Backtracking Catastrophique

This vulnerability affects path-to-regexp 0.1.x (the legacy branch shipped with Express 4). When a route has three or more parameters within a single segment separated by something other than a period — for example /:a-:b-:c — the generated regex is vulnerable to catastrophic backtracking. The backtrack protection introduced in v0.1.12 only handled two-parameter patterns; adding a third parameter breaks the lookahead assertions.

Cette vulnérabilité affecte path-to-regexp 0.1.x (la branche legacy livrée avec Express 4). Lorsqu'une route a trois paramètres ou plus dans un seul segment séparés par autre chose qu'un point — par exemple /:a-:b-:c — la regex générée est vulnérable à un backtracking catastrophique. La protection introduite dans la v0.1.12 ne gérait que les patterns à deux paramètres ; l'ajout d'un troisième rompt les assertions lookahead.

// CVE-2026-4867 — Vulnerable route pattern (Express 4 + path-to-regexp 0.1.x < 0.1.13)
app.get('/:year-:month-:day', (req, res) => { /* ... */ });

// An attacker can send: GET /2026-01-AAAAAAAAAA...AAAAAAAAAA!
// The regex engine will backtrack catastrophically, freezing the event loop
// Fix: upgrade path-to-regexp to 0.1.13+
// In Express 4: npm install path-to-regexp@0.1.13

CVE-2026-4923: Wildcard + Parameter Combinations Block the Event Loop

CVE-2026-4923 : Combinaisons Wildcard + Paramètre Bloquent la Boucle d'Événements

This vulnerability affects path-to-regexp 8.0.0 through 8.3.0 (the version used by Express 5). When a route combines multiple wildcards with at least one named parameter, and the second wildcard appears somewhere other than the end of the path — for example /*foo-*bar-:baz — a ReDoS-vulnerable regex is generated. A single crafted HTTP request freezes the Node.js event loop, making the entire application unresponsive until the process is restarted.

Cette vulnérabilité affecte path-to-regexp 8.0.0 à 8.3.0 (la version utilisée par Express 5). Lorsqu'une route combine plusieurs wildcards avec au moins un paramètre nommé, et que le second wildcard apparaît ailleurs qu'à la fin du chemin — par exemple /*foo-*bar-:baz — une regex vulnérable au ReDoS est générée. Une seule requête HTTP crafted fige la boucle d'événements Node.js, rendant l'application entièrement inréactive jusqu'au redémarrage du processus.

# Check your path-to-regexp versions
npm list path-to-regexp --all

# Express 4: should be >= 0.1.13
# Express 5: should be >= 8.4.0

# Update to patched versions
npm update path-to-regexp

Express February 2026 Security Release: Multer DoS Vulnerabilities

Release de Sécurité Express Février 2026 : Vulnérabilités DoS dans Multer

On February 27, 2026, the Express team published a security release for Multer — the most widely used file upload middleware for Express. Two high-severity DoS vulnerabilities were patched in version 2.1.0. Both allow attackers to exhaust server resources without authentication.

Le 27 février 2026, l'équipe Express a publié une release de sécurité pour Multer — le middleware de téléchargement de fichiers le plus utilisé pour Express. Deux vulnérabilités DoS haute sévérité ont été corrigées dans la version 2.1.0. Toutes deux permettent aux attaquants d'épuiser les ressources serveur sans authentification.

CVE-2026-2359 exploits connection dropout during file upload. When a client initiates an upload and then abruptly drops the connection, Multer fails to clean up file handles, memory buffers, and temporary disk files. Repeated dropouts exhaust file descriptors and memory. CVE-2026-3304 targets the fileFilter async callback: when a request triggers an error during multipart stream processing, files already written to disk during the asynchronous validation phase are never deleted, gradually consuming all available storage.

CVE-2026-2359 exploite l'abandon de connexion lors du téléchargement. Quand un client initie un upload puis coupe abruptement la connexion, Multer ne libère pas les file handles, tampons mémoire et fichiers temporaires. Des abandons répétés épuisent les descripteurs de fichiers et la mémoire. CVE-2026-3304 cible le callback async fileFilter : lorsqu'une requête déclenche une erreur durant le traitement du flux multipart, les fichiers déjà écrits sur disque lors de la validation asynchrone ne sont jamais supprimés, consommant progressivement tout le stockage disponible.

# Check your multer version
npm list multer

# Should be >= 2.1.0
npm install multer@^2.1.0

Express Hardening Guide for 2026: helmet.js, Rate Limiting & More

Guide de Durcissement Express pour 2026 : helmet.js, Rate Limiting & Plus

Beyond patching individual CVEs, securing an Express application in 2026 requires a defense-in-depth approach. The following practices address the most common attack vectors seen in Node.js/Express applications.

Au-delà du patch des CVE individuelles, sécuriser une application Express en 2026 nécessite une approche de défense en profondeur. Les pratiques suivantes adressent les vecteurs d'attaque les plus courants des applications Node.js/Express.

1. Install helmet.js — 13 Security Headers in One Line

1. Installer helmet.js — 13 En-têtes de Sécurité en Une Ligne

Helmet sets 13 security-related HTTP response headers that protect against XSS, clickjacking, MIME sniffing, and more. It's the single highest-ROI security addition you can make to an Express application.

Helmet définit 13 en-têtes de réponse HTTP liés à la sécurité qui protègent contre le XSS, le clickjacking, le MIME sniffing et plus encore. C'est l'ajout de sécurité au meilleur ROI que vous puissiez faire sur une application Express.

const express = require('express');
const helmet = require('helmet');

const app = express();

// Enable all 13 headers with sane defaults
app.use(helmet());

// Or configure Content-Security-Policy for production
app.use(
  helmet({
    contentSecurityPolicy: {
      directives: {
        defaultSrc: ["'self'"],
        scriptSrc: ["'self'"],
        styleSrc: ["'self'", "'unsafe-inline'"],
        imgSrc: ["'self'", "data:", "https:"],
      },
    },
    // TLS 1.3 is standard in 2026 — enforce HSTS
    strictTransportSecurity: {
      maxAge: 31536000,
      includeSubDomains: true,
      preload: true,
    },
  })
);

2. Rate Limiting — Block Brute Force and DoS at the App Layer

2. Rate Limiting — Bloquer la Force Brute et le DoS au Niveau Applicatif

const rateLimit = require('express-rate-limit');

// Global limiter — protects all routes
const globalLimiter = rateLimit({
  windowMs: 15 * 60 * 1000, // 15 minutes
  max: 100,                   // max 100 requests per IP per window
  standardHeaders: 'draft-7',
  legacyHeaders: false,
  message: { error: 'Too many requests, please try again later.' },
});
app.use(globalLimiter);

// Strict limiter for sensitive endpoints
const authLimiter = rateLimit({
  windowMs: 60 * 60 * 1000,  // 1 hour
  max: 10,                    // max 10 login attempts per hour
  skipSuccessfulRequests: true,
});
app.use('/api/auth/', authLimiter);

3. Migrate to Express 5 — Path-to-Regexp ReDoS Protection Built-In

3. Migrer vers Express 5 — Protection ReDoS Path-to-Regexp Intégrée

Express 5 (released October 2024, now stable in 2026) ships with significant security improvements over Express 4: it uses path-to-regexp 8.x (with updated ReDoS protections), rejects invalid headers by default, and improves async error handling so unhandled promise rejections no longer silently fail. Express 4 remains supported but is on a maintenance path — new security features are only added to Express 5.

Express 5 (sorti en octobre 2024, maintenant stable en 2026) embarque des améliorations de sécurité significatives par rapport à Express 4 : il utilise path-to-regexp 8.x (avec des protections ReDoS mises à jour), rejette les headers invalides par défaut, et améliore la gestion des erreurs async pour que les rejets de promesses non gérés n'échouent plus silencieusement. Express 4 reste supporté mais est en mode maintenance — les nouvelles fonctionnalités de sécurité ne sont ajoutées qu'à Express 5.

# Migrate from Express 4 to Express 5
npm install express@^5.0.0

# Key breaking changes in Express 5:
# - Route parameters no longer accept regex — use named groups instead
# - app.del() removed — use app.delete()
# - req.param() removed — use req.params / req.query / req.body
# - Async errors in route handlers are now forwarded to error middleware

4. Dependency Auditing — Automate CVE Detection for All 16 Attack Surfaces

4. Audit des Dépendances — Automatiser la Détection CVE sur les 16 Surfaces d'Attaque

The 16 CVEs patched in Q1 2026 were spread across the Node.js core, Express routing, Express middleware (Multer), and transitive dependencies. A single npm audit run gives you a snapshot, but doesn't alert you when new CVEs are published after you deploy. Automated monitoring catches vulnerabilities like CVE-2026-4867 the day they're disclosed, not when you remember to run an audit.

Les 16 CVE corrigées au T1 2026 étaient réparties sur le core Node.js, le routage Express, les middlewares Express (Multer) et les dépendances transitives. Un seul npm audit donne un instantané, mais ne vous alerte pas quand de nouvelles CVE sont publiées après votre déploiement. Le monitoring automatisé détecte les vulnérabilités comme CVE-2026-4867 le jour de leur divulgation, pas quand vous pensez à lancer un audit.

# One-time audit (snapshot only)
npm audit

# Check specific packages
npm audit --package-lock-only

# Fix automatically (patch-level bumps)
npm audit fix

# For deeper inspection, use npx
npx better-npm-audit audit

Node.js/Express Security Checklist for 2026

Checklist de Sécurité Node.js/Express pour 2026

Frequently Asked Questions

Questions Fréquentes