Katalog CVE

CVE-2026-5079

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

Wersje multer od 1.0.0 do 2.1.1 oraz 3.0.0-alpha.1 są podatne na atak typu Denial of Service poprzez głęboko zagnieżdżone nazwy pól w danych formularza multipart. Atakujący może wykorzystać to, aby zmusić system do alokacji głęboko zagnieżdżonych struktur obiektów, co prowadzi do zużycia CPU i pamięci.

Ocena ryzyka

Organizacja może doświadczyć poważnych problemów z wydajnością, co może prowadzić do niedostępności usług. Atakujący może wykorzystać tę podatność do przeprowadzenia ataku DoS za pomocą jednego spreparowanego żądania HTTP.

Rekomendacja

Zaleca się aktualizację do wersji multer 2.2.0 lub 3.0.0-alpha.2 oraz skonfigurowanie opcji limits.fieldNestingDepth na minimalną głębokość wymaganą przez aplikację. Dodatkowo, warto ustawić limits.fields na rozsądny poziom, aby ograniczyć liczbę pól, które atakujący może wysłać w jednym żądaniu.

Oryginalny opis (angielski, źródło NVD)

Impact: multer versions 1.0.0 through 2.1.1 and 3.0.0-alpha.1 are vulnerable to a Denial of Service via deeply nested field names in multipart form data. The append-field dependency parses bracket notation in field names with no limit on nesting depth, allowing an attacker to force allocation of deeply nested object structures that consume CPU and memory. A single HTTP request with a crafted multipart body is sufficient to exploit this. Patches: Users should upgrade to multer 2.2.0 (2.x line) or 3.0.0-alpha.2 (3.x prerelease) and configure the new limits.fieldNestingDepth option to the minimum depth their application requires. Workarounds: Set limits.fields to a reasonable value to reduce the number of fields an attacker can send per request. This does not fully mitigate the issue but limits the impact.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS