2025 年 5 月安全发布
Express 团队发布了 Multer 的新主版本,解决了两个高严重性安全漏洞。此次更新提高了 Express 应用中文件上传处理的可靠性和安全性。
警告
我们强烈建议您尽快升级到 Multer v2.0.0 或更高版本。
已解决以下漏洞
Multer 中间件中的高严重性漏洞 CVE-2025-47935
Multer 版本 <2.0.0 易受拒绝服务攻击,原因是流处理不当导致的内存泄漏。
当 HTTP 请求流发出错误时,内部的 busboy 流未关闭,违反了 Node.js 流安全指南。
这导致未关闭的流随时间累积,消耗内存和文件描述符。在持续或重复的故障条件下,这可能导致拒绝服务,需要手动重启服务器才能恢复。所有处理文件上传的 Multer 用户都可能受到影响。
受影响版本:<2.0.0
已修补版本:>=2.0.0
欲了解更多详情,请参见 GHSA-44fp-w29j-9vj5。
Multer 中间件中的高严重性漏洞 CVE-2025-47944
Multer 版本 >=1.4.4-lts.1 和 <2.0.0 易受通过格式错误的 multipart 请求进行的拒绝服务攻击。
特制请求可能导致 Multer 内部出现未处理的异常,从而导致服务器进程崩溃。
受影响版本:>=1.4.4-lts.1 和 <2.0.0
已修补版本:>=2.0.0
欲了解更多详情,请参见 GHSA-4pg4-qvpc-4q3h。
Multer v2.0.0 还引入了一项重大变更
- 现在支持的最低 Node.js 版本是 10.16.0。
我们建议立即升级到最新版本的 Multer 以保护您的应用程序。
编辑此页面