CVE-2026-5079
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Wersje multer od 1.0.0 do 2.1.1 oraz 3.0.0-alpha.1 są podatne na atak typu Denial of Service poprzez głęboko zagnieżdżone nazwy pól w danych formularza multipart. Atakujący może wykorzystać to, aby zmusić system do alokacji głęboko zagnieżdżonych struktur obiektów, co prowadzi do zużycia CPU i pamięci.
Ocena ryzyka
Organizacja może doświadczyć poważnych problemów z wydajnością, co może prowadzić do niedostępności usług. Atakujący może wykorzystać tę podatność do przeprowadzenia ataku DoS za pomocą jednego spreparowanego żądania HTTP.
Rekomendacja
Zaleca się aktualizację do wersji multer 2.2.0 lub 3.0.0-alpha.2 oraz skonfigurowanie opcji limits.fieldNestingDepth na minimalną głębokość wymaganą przez aplikację. Dodatkowo, warto ustawić limits.fields na rozsądny poziom, aby ograniczyć liczbę pól, które atakujący może wysłać w jednym żądaniu.
Oryginalny opis (angielski, źródło NVD)
Impact: multer versions 1.0.0 through 2.1.1 and 3.0.0-alpha.1 are vulnerable to a Denial of Service via deeply nested field names in multipart form data. The append-field dependency parses bracket notation in field names with no limit on nesting depth, allowing an attacker to force allocation of deeply nested object structures that consume CPU and memory. A single HTTP request with a crafted multipart body is sufficient to exploit this. Patches: Users should upgrade to multer 2.2.0 (2.x line) or 3.0.0-alpha.2 (3.x prerelease) and configure the new limits.fieldNestingDepth option to the minimum depth their application requires. Workarounds: Set limits.fields to a reasonable value to reduce the number of fields an attacker can send per request. This does not fully mitigate the issue but limits the impact.

