| Title | Express.jsのMulterにおけるリソースの枯渇に関する脆弱性 |
|---|---|
| Summary | 影響:multerのバージョン1.0.0から2.1.1および3.0.0-alpha.1には、multipartフォームデータ内の深くネストされたフィールド名を介したサービス拒否の脆弱性があります。append-field依存ライブラリはフィールド名のブラケット表記をネストの深さに制限なく解析するため、攻撃者はCPUとメモリを消費する深くネストされたオブジェクト構造を割り当てることを強制できます。細工されたmultipartボディを含む単一のHTTPリクエストでこの脆弱性を悪用することが可能です。修正方法としては、ユーザーはmulterを2.2.0(2.x系列)または3.0.0-alpha.2(3.xプレリリース)にアップグレードし、新しいlimits.fieldNestingDepthオプションをアプリケーションで必要な最小深度に設定する必要があります。回避策としては、攻撃者がリクエストごとに送信可能なフィールド数を減らすために、limits.fieldsを適切な値に設定してください。これは問題を完全に緩和するものではありませんが、影響を制限します。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 15, 2026, midnight |
| Registration Date | June 17, 2026, 3:39 p.m. |
| Last Update | June 17, 2026, 3:39 p.m. |
| CVSS3.0 : 重要 | |
| Score | 7.5 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
| Express.js |
| Multer 1.0.0 以上 2.2.0 未満 |
| Multer 3.0.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月17日] 掲載 |
June 17, 2026, 3:39 p.m. |
| Summary | Impact: multer versions 1.0.0 through 2.1.1 and 3.0.0-alpha.1 are vulnerable to a Denial of Service via deeply nested field names in multipart form data. The append-field dependency parses bracket notation in field names with no limit on nesting depth, allowing an attacker to force allocation of deeply nested object structures that consume CPU and memory. A single HTTP request with a crafted multipart body is sufficient to exploit this. Patches: Users should upgrade to multer 2.2.0 (2.x line) or 3.0.0-alpha.2 (3.x prerelease) and configure the new limits.fieldNestingDepth option to the minimum depth their application requires. Workarounds: Set limits.fields to a reasonable value to reduce the number of fields an attacker can send per request. This does not fully mitigate the issue but limits the impact. |
|---|---|
| Publication Date | June 15, 2026, 11:16 p.m. |
| Registration Date | June 16, 2026, 4:12 a.m. |
| Last Update | June 17, 2026, 1:49 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:expressjs:multer:*:*:*:*:*:node.js:*:* | 1.0.0 | 2.2.0 | |||
| cpe:2.3:a:expressjs:multer:3.0.0:alpha1:*:*:*:node.js:*:* | |||||