Multer — это промежуточное программное обеспечение node.js для обработки multipart/form-data. Уязвимость в Multer до версии 2.1.0 позволяет злоумышленнику инициировать отказ в обслуживании (DoS), отправляя неверные запросы, что может привести к истощению ресурсов. Пользователям следует обновиться до версии 2.1.0, чтобы получить исправление.
Никаких известных обходных путей не существует.
Показать оригинальное описание (EN)
Multer is a node.js middleware for handling `multipart/form-data`. A vulnerability in Multer prior to version 2.1.0 allows an attacker to trigger a Denial of Service (DoS) by sending malformed requests, potentially causing resource exhaustion. Users should upgrade to version 2.1.0 to receive a patch. No known workarounds are available.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Expressjs Multer
cpe:2.3:a:expressjs:multer:*:*:*:*:*:node.js:*:*
|
— |
2.1.0
|
Ссылки 4
https://cna.openjsf.org/security-advisories.html
ce714d77-add3-4f53-aff5-83d477b104bb
https://github.com/expressjs/multer/commit/739919097dde3921ec31b930e4b9025036fa…
ce714d77-add3-4f53-aff5-83d477b104bb
https://github.com/expressjs/multer/security/advisories/GHSA-xf7r-hgr6-v32p
ce714d77-add3-4f53-aff5-83d477b104bb
https://www.cve.org/CVERecord?id=CVE-2026-3304
ce714d77-add3-4f53-aff5-83d477b104bb