seguridad

Lanzamientos de seguridad de junio 2026

Ulises Gascon
Ulises Gascon June 30, 2026

El equipo de Express ha publicado multer 2.2.0 y morgan 1.11.0, abordando tres vulnerabilidades en el análisis multipart y el registro de accesos.

Advertencia

Recomendamos actualizar a las últimas versiones de multer y morgan para asegurar tus aplicaciones. Si tienes un package-lock.json, puedes actualizar las dependencias ejecutando:

Ventana de terminal
npm update multer morgan

Las siguientes vulnerabilidades han sido corregidas:

CVE-2026-5079 en el middleware multer (Alta)

Las versiones de multer >= 1.0.0, < 2.2.0 y >= 3.0.0-alpha.1, < 3.0.0-alpha.2 son vulnerables a denegación de servicio mediante nombres de campo profundamente anidados en datos de formularios multipart

Multer usa la dependencia append-field para analizar la notación de corchetes en nombres de campo como a[b][c]. No hay límite en la profundidad de anidamiento, por lo que un atacante puede enviar un formulario multipart con nombres de campo que fuerzan la asignación de objetos profundamente anidados. Con anidamiento suficiente, el manejo de peticiones consume memoria y CPU excesivas, causando denegación de servicio. La vulnerabilidad afecta a todos los consumidores que pasan formularios multipart controlados por el usuario a través del parser de multer.

Versiones afectadas: >= 1.0.0, < 2.2.0 y >= 3.0.0-alpha.1, < 3.0.0-alpha.2
Versión parcheada: >= 2.2.0 (línea estable) y >= 3.0.0-alpha.2 (línea alpha)

Para más detalles, consulta GHSA-72gw-mp4g-v24j.

CVE-2026-5078 en el middleware morgan (Media)

Las versiones de morgan >= 1.2.0, <= 1.10.1 son vulnerables a falsificación de logs mediante caracteres de control no sanitizados en el token :remote-user

El token :remote-user de morgan escribe el nombre de usuario de autenticación Basic de la cabecera Authorization al flujo de logs sin neutralizar los caracteres de control. Una cabecera Authorization: Basic manipulada que contenga caracteres CR/LF puede inyectar líneas de log falsificadas, corrompiendo la estructura de una-petición-por-línea de los logs de acceso. Los formatos integrados combined, common, default, y short están afectados, así como cualquier formato personalizado que incluya :remote-user.

Affected versions: >= 1.2.0, <= 1.10.1 Patched version: >= 1.11.0

Para más detalles, consulta GHSA-4vj7-5mj6-jm8m.

CVE-2026-5038 en el middleware multer (Media)

Las versiones de multer >= 2.0.0-alpha.1, < 2.2.0 y >= 3.0.0-alpha.1, < 3.0.0-alpha.2 son vulnerables a denegación de servicio por limpieza incompleta de subidas abortadas

Cuando se usa el motor diskStorage de multer, las subidas multipart abortadas o malformadas dejan archivos parciales huérfanos en el disco. La ruta de limpieza no se ejecuta en todas las condiciones de error, por lo que un atacante puede llenar el directorio de subidas abriendo y interrumpiendo conexiones repetidamente a mitad de una subida. Con el tiempo esto agota el espacio en disco, causando denegación de servicio en el host.

Versiones afectadas: >= 2.0.0-alpha.1, < 2.2.0 y >= 3.0.0-alpha.1, < 3.0.0-alpha.2 Versión parcheada: >= 2.2.0 (línea estable) y >= 3.0.0-alpha.2 (línea alpha)

Para más detalles, consulta GHSA-3p4h-7m6x-2hcm.


Recomendamos actualizar a las últimas versiones de multer y morgan para asegurar tus aplicaciones.

¿Interesado en escribir una publicación? Revisa nuestras directrices para empezar.

Leer las directrices