概要
Multer は Express.js エコシステム で 広く 利用 されて いる multipart/form-data 形式 の ファイルアップロード を 処理 する ミドルウェア です。バージョン 2.1.0 未満 に おいて、ファイルアップロード 中 に クライアント が 接続 を 切断 した 際、割り当て られた リソース が 適切 に 解放 されない 問題(CWE-772: リソース枯渇)が 存在 します。
攻撃者 が 大量 の ファイルアップロード リクエスト を 開始 し、途中 で 接続 を 切断 する こと を 繰り返す と、サーバー 側 で リソース が 蓄積 し、最終的 に サービス拒否(DoS)状態 に 陥る 可能性 が あります。Multer は npm で 週間 数百万 ダウンロード を 記録 する 人気 パッケージ で あり、影響 範囲 は 広い と 考え られます。
Express.js で Multer を 使用 して いる Node.js アプリケーション は、バージョン 2.1.0 以上 へ の アップデート を 速やか に 実施 して ください。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-772 (リソース枯渇) |
| 攻撃元 | ネットワーク |
| 攻撃条件 | 低 |
| 認証 | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Multer | expressjs | 2.1.0 未満 |
修正バージョンと回避策
- 修正バージョン: Multer 2.1.0 へ アップデート して ください
- 暫定回避策: リバースプロキシ で アップロード リクエスト の レート制限 や タイムアウト を 設定 する こと で リスク を 軽減 できます
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。