Multer
Уязвимости
8
Эксплуатируемые
0
Макс. CVSS
8.7
Макс. EPSS
0.00665
Распределение по критичности
Критический
0
Высокий
8
Средний
0
Низкий
0
Затронутые диапазоны версий
1.0.0–2.2.01.4.4-lts.1–2.0.01.4.4-lts.1–2.0.12.0.0–2.2.0< 2.0.0< 2.1.0< 2.1.1
Также сопоставлено как (исходные строки): multer
Топ уязвимостей
CVE-2026-3520Multer - это промежуточное повесток дня node.js для обработки 'multipart/form-data`. Уязвимость в Multer до версии 2.1.1 позволяет злоумышленнику инициировать отказ в обслуживании (DoS), отправляя уродливые запросы, что может привести к переполнению стека. Пользователи должны обновиться до версии 2.1.1, чтобы получить патч. Известные обходные действия не доступны.
CVE-2026-3304Multer - это промежуточный программный обеспечение node.js для обработки 'multipart/form-data`. Уязвимость в Multer до версии 2.1.0 позволяет злоумышленнику запускать отказ в обслуживании (DoS) путем отправки уродливых запросов, что может привести к истощению ресурсов. Пользователи должны обновиться до версии 2.1.0, чтобы получить патч. Известных обходных пути нет.
CVE-2026-2359Multer - это промежуточный программный обеспечение node.js для обработки `multipart/form-data`. Уязвимость в Multer до версии 2.1.0 позволяет злоумышленнику запустить отказ в обслуживании (DoS), сбрасывая соединение во время загрузки файла, что может привести к истощению ресурса. Пользователи должны перейти на версию 2.1.0, чтобы получить патч. Известные обходные действия не доступны.
CVE-2025-48997Multer - это middleware для node.js, обрабатывающий `multipart/form-data`. Уязвимость, существующая начиная с версии 1.4.4-lts.1 и до версии 2.0.1, позволяет злоумышленнику вызвать отказ в обслуживании (DoS), отправив запрос на загрузку файла с пустым именем поля. Этот запрос вызывает необработанное исключение, приводящее к сбою процесса. Пользователям рекомендуется обновиться до версии `2.0.1`, чтобы получить исправление [1][2].
Источники:
- [1] https://github.com/expressjs/multer/security/advisories/GHSA-g5hg-p3ph-g8qg
- [2] https://github.com/expressjs/multer/commit/35a3272b611945155e046dd5cef11088587635e9
CVE-2026-5079Эффект: версии блтер 1.0.0-2.1.1 и 3.0.0-альфа.1 уязвимы для отказа в обслуживании через глубоко вложенные названия полей в многочастных формах. Нотация кронштейна зависимостей от абтвенного поля в названиях полей без ограничения глубины гнездования, что позволяет злоумышленнику принудительно распределять глубоко вложенные конструкции объектов, которые потребляют процессор и память. Одного HTTP-запроса с созданным многочастным корпусом достаточно, чтобы использовать это.
Патчи: Пользователи должны обновиться до мультера 2.2.0 (2.x line) или 3.0.0-альфа.2 (3.x предварительного выпуска) и настроить новый параметр limits.fieldNestingDepth на минимальную глубину, необходимую их применению.
Обходные раунды: Установите limit.fields в разумном значении, чтобы уменьшить количество полей, которые злоумышленник может отправить за запрос. Это не полностью смягчает проблему, но ограничивает воздействие.
CVE-2026-5038Impact: multer версии 2.0.0-alpha.1 до 2.1.1 и 3.0.0-альфа.1 уязвимы для отказа в обслуживании при использовании диска. Запрещенные или уродливые многочастные загрузки оставляют осиротевшие частичные файлы на диске, потому что вызов Readable.pipe() не распространяет сигнал уничтожения потока
Основная статья fs.WriteStream. Злоумышленник может истощить дисковое пространство, вызывая множество прерванных загрузок, без необходимости ошибки приложения.
Патчи: Пользователи должны обновиться до мультера 2.2.0 (2.x line) или 3.0.0-альфа.2 (3.x предварительного выпуска). Обе версии отслеживают потоки в полете, пишут потоки и очищают их на пути прерывания.
Обходные пути: Нет.
CVE-2025-47944Multer - это middleware для node.js, предназначенный для обработки `multipart/form-data`. Уязвимость, обнаруженная в версиях >=1.4.4-lts.1 и <2.0.0, позволяет злоумышленнику вызвать отказ в обслуживании (DoS) путем отправки некорректного multipart-запроса. Обновите Multer до версии 2.0.0, чтобы устранить уязвимость [1].
Источники:
- [1] https://github.com/expressjs/multer/security/advisories/GHSA-4pg4-qvpc-4q3h
CVE-2025-47935Multer - это middleware для node.js, предназначенный для обработки `multipart/form-data`. Версии до 2.0.0 уязвимы к проблеме истощения ресурсов и утечки памяти из-за неправильной обработки потоков. Когда поток HTTP-запроса генерирует ошибку, внутренний поток `busboy` не закрывается, что нарушает рекомендации по безопасности потоков Node.js. Это приводит к накоплению незакрытых потоков со временем, потреблению памяти и файловых дескрипторов. При повторяющихся или постоянных сбоях это может привести к отказу в обслуживании, требующему ручного перезапуска сервера для восстановления. Все пользователи Multer, обрабатывающие загрузку файлов, потенциально подвержены воздействию. Пользователям рекомендуется обновиться до версии 2.0.0 для получения исправления. Известных обходных путей нет [1]. Уязвимость была устранена путем закрытия потока busboy при возникновении ошибки в потоке запроса, как описано в #1120 [2]. Исправление доступно в версии 2.0.0, как указано в коммите 2c8505f [3].
Источники:
- [1] https://github.com/expressjs/multer/security/advisories/GHSA-44fp-w29j-9vj5
- [2] https://github.com/expressjs/multer/pull/1120
- [3] https://github.com/expressjs/multer/commit/2c8505f207d923dd8de13a9f93a4563e59933665