seguridad

Lanzamientos de seguridad de mayo 2026

Ulises Gascon
Ulises Gascon May 31, 2026

El equipo de Express ha publicado multiparty 4.3.0, abordando tres vulnerabilidades de denegación de servicio en el parser de formularios multipart.

Advertencia

Recomendamos actualizar a la última versión de multiparty para asegurar tus aplicaciones. Si tienes un package-lock.json, puedes actualizar la dependencia ejecutando:

Ventana de terminal
npm update multiparty

Las siguientes vulnerabilidades han sido corregidas:

CVE-2026-8159 en el módulo utilitario multiparty (Alta)

Las versiones de multiparty <= 4.2.3 son vulnerables a denegación de servicio por expresiones regulares mediante el análisis de nombres de archivo

Una subida multipart manipulada con un valor de cabecera largo puede causar que la coincidencia de expresiones regulares en el parser de nombres de archivo de Content-Disposition tome segundos, bloqueando el event loop de Node.js. Cualquier servicio que acepte subidas multipart vía multiparty está afectado. Una cabecera pequeña de alrededor de 8 KB es suficiente para provocar el retroceso vulnerable.

Affected versions: <= 4.2.3 Patched version: >= 4.3.0

Para más detalles, consulta GHSA-65x3-rw7q-gx94.

CVE-2026-8161 en el módulo utilitario multiparty (Alta)

Las versiones de multiparty <= 4.2.3 son vulnerables a denegación de servicio mediante contaminación de prototipo que provoca una excepción no capturada

Una subida multipart con un nombre de campo que colisiona con una propiedad heredada de Object.prototype como __proto__, constructor, o toString causa que el parser invoque .push() sobre el valor del prototipo heredado en lugar de un array, lanzando un TypeError que se propaga como una excepción no capturada y bloquea el proceso. Cualquier servicio que acepte subidas multipart vía multiparty está afectado.

Affected versions: <= 4.2.3 Patched version: >= 4.3.0

Para más detalles, consulta GHSA-qxch-whhj-8956.

CVE-2026-8162 en el módulo utilitario multiparty (Alta)

Las versiones de multiparty <= 4.2.3 son vulnerables a denegación de servicio mediante una excepción no capturada en el análisis del parámetro filename*

Una subida multipart con una cabecera Content-Disposition cuyo parámetro filename* contiene una codificación porcentual malformada causa que el parser invoque decodeURI sobre el valor sin try/catch. El URIError resultante se propaga como una excepción no capturada y bloquea el proceso. Cualquier servicio que acepte subidas multipart vía multiparty está afectado.

Affected versions: <= 4.2.3 Patched version: >= 4.3.0

Para más detalles, consulta GHSA-xh3c-6gcq-g4rv.


Recomendamos actualizar a la última versión de multiparty para asegurar tus aplicaciones.

¿Interesado en escribir una publicación? Revisa nuestras directrices para empezar.

Leer las directrices