El equipo de Express ha publicado multiparty 4.3.0, abordando tres vulnerabilidades de denegación de servicio en el parser de formularios multipart.
Advertencia
Recomendamos actualizar a la última versión de multiparty para asegurar tus aplicaciones. Si tienes un package-lock.json, puedes actualizar la dependencia ejecutando:
npm update multipartyLas siguientes vulnerabilidades han sido corregidas:
- CVE-2026-8159 en el módulo utilitario multiparty (Alta)
- CVE-2026-8161 en el módulo utilitario multiparty (Alta)
- CVE-2026-8162 en el módulo utilitario multiparty (Alta)
CVE-2026-8159 en el módulo utilitario multiparty (Alta)
Las versiones de multiparty <= 4.2.3 son vulnerables a denegación de servicio por expresiones regulares mediante el análisis de nombres de archivo
Una subida multipart manipulada con un valor de cabecera largo puede causar que la coincidencia de expresiones regulares en el parser de nombres de archivo de Content-Disposition tome segundos, bloqueando el event loop de Node.js. Cualquier servicio que acepte subidas multipart vía multiparty está afectado. Una cabecera pequeña de alrededor de 8 KB es suficiente para provocar el retroceso vulnerable.
Affected versions: <= 4.2.3
Patched version: >= 4.3.0
Para más detalles, consulta GHSA-65x3-rw7q-gx94.
CVE-2026-8161 en el módulo utilitario multiparty (Alta)
Las versiones de multiparty <= 4.2.3 son vulnerables a denegación de servicio mediante contaminación de prototipo que provoca una excepción no capturada
Una subida multipart con un nombre de campo que colisiona con una propiedad heredada de Object.prototype como __proto__, constructor, o toString causa que el parser invoque .push() sobre el valor del prototipo heredado en lugar de un array, lanzando un TypeError que se propaga como una excepción no capturada y bloquea el proceso. Cualquier servicio que acepte subidas multipart vía multiparty está afectado.
Affected versions: <= 4.2.3
Patched version: >= 4.3.0
Para más detalles, consulta GHSA-qxch-whhj-8956.
CVE-2026-8162 en el módulo utilitario multiparty (Alta)
Las versiones de multiparty <= 4.2.3 son vulnerables a denegación de servicio mediante una excepción no capturada en el análisis del parámetro filename*
Una subida multipart con una cabecera Content-Disposition cuyo parámetro filename* contiene una codificación porcentual malformada causa que el parser invoque decodeURI sobre el valor sin try/catch. El URIError resultante se propaga como una excepción no capturada y bloquea el proceso. Cualquier servicio que acepte subidas multipart vía multiparty está afectado.
Affected versions: <= 4.2.3
Patched version: >= 4.3.0
Para más detalles, consulta GHSA-xh3c-6gcq-g4rv.
Recomendamos actualizar a la última versión de multiparty para asegurar tus aplicaciones.