El equipo de Express ha liberado una nueva versión principal de Multer que aborda dos vulnerabilidades de seguridad de alta severidad. Esta actualización mejora la confiabilidad y seguridad del manejo de subidas de archivos en aplicaciones Express.
Advertencia
Recomendamos encarecidamente que actualices a Multer v2.0.0 o posterior lo antes posible.
Las siguientes vulnerabilidades han sido corregidas:
- Vulnerabilidad de alta severidad CVE-2025-47935 en el middleware Multer
- Vulnerabilidad de alta severidad CVE-2025-47944 en el middleware Multer
Vulnerabilidad de alta severidad CVE-2025-47935 en el middleware Multer
Multer versiones <2.0.0 son vulnerables a denegación de servicio debido a una fuga de memoria causada por manejo inadecuado de streams.
Cuando el stream de la solicitud HTTP emite un error, el stream interno busboy no se cierra, violando la guía de seguridad de streams de Node.js.
Esto provoca que los streams no cerrados se acumulen con el tiempo, consumiendo memoria y descriptores de archivos. Bajo condiciones de fallo sostenidas o repetidas, esto puede resultar en denegación de servicio, requiriendo reinicios manuales del servidor para recuperarse. Todos los usuarios de Multer que manejan subidas de archivos están potencialmente impactados.
Affected versions: <2.0.0
Patched version: >=2.0.0
Para más detalles, ver GHSA-44fp-w29j-9vj5.
Vulnerabilidad de alta severidad CVE-2025-47944 en el middleware Multer
Multer versiones >=1.4.4-lts.1 y <2.0.0 son vulnerables a denegación de servicio mediante una solicitud multipart malformada.
Una solicitud especialmente diseñada puede causar una excepción no manejada dentro de Multer, resultando en una caída del proceso del servidor.
Versiones afectadas: >=1.4.4-lts.1 y <2.0.0
Versión parchada: >=2.0.0
Para más detalles, ver GHSA-4pg4-qvpc-4q3h.
Multer v2.0.0 también introduce un cambio disruptivo:
- La versión mínima soportada de Node.js es ahora 10.16.0.
Recomendamos actualizar a la última versión de Multer inmediatamente para asegurar tus aplicaciones.