El equipo de Express ha publicado una nueva versión de parche de Multer que aborda una vulnerabilidad de seguridad de alta severidad, y una nueva versión menor de on-headers que aborda una vulnerabilidad de seguridad de baja severidad.
Advertencia
Recomendamos actualizar a la última versión de Multer y On-headers inmediatamente para asegurar tus aplicaciones.
Las siguientes vulnerabilidades han sido corregidas:
- Vulnerabilidad de alta severidad CVE-2025-7338 en el middleware Multer
- Vulnerabilidad de baja severidad CVE-2025-7339 en el middleware On-headers
Vulnerabilidad de alta severidad CVE-2025-7338 en el middleware Multer
Las versiones de Multer >=1.4.4-lts.1 y <2.0.2 son vulnerables a denegación de servicio mediante una excepción no manejada por una petición malformada.
Esta petición causa una excepción no manejada, provocando el bloqueo del proceso.
Affected versions: >=1.4.4-lts.1, <2.0.2
Patched version: 2.0.2
Para más detalles, consulta GHSA-fjgf-rc76-4x9p.
Vulnerabilidad de baja severidad CVE-2025-7339 en el middleware On-headers
Las versiones de On-headers <1.1.0 son vulnerables a manipulación de cabeceras de respuesta HTTP
Un bug en las versiones de on-headers <1.1.0 puede provocar que las cabeceras de respuesta se modifiquen inadvertidamente cuando se pasa un array a response.writeHead()
Affected versions: <1.1.0
Patched version: 1.1.0
Para más detalles, consulta GHSA-76c9-3jph-rj3q.
Recomendamos actualizar a la última versión de Multer y On-headers inmediatamente para asegurar tus aplicaciones.