概要
Multer は Express.js 向け の ファイルアップロード ミドルウェア として 広く 利用 されて いる npm パッケージ です。バージョン 2.1.0 未満 に おいて、不正 な リクエスト を 受信 した 際 に リソース が 適切 に クリーンアップ されない 問題(CWE-459: リソースクリーンアップ不備)が 存在 します。
CVE-2026-2359 と 同様 に Multer の リソース 管理 に 関する 脆弱性 です が、本件 は 不正 な リクエスト の 処理 に 起因 する 点 が 異なります。攻撃者 が 不正 な 形式 の リクエスト を 大量 に 送信 する こと で、サーバー の リソース が 枯渇 し、サービス拒否(DoS)状態 に 陥る 可能性 が あります。
CVE-2026-2359 と 合わせて、Multer 2.1.0 へ の アップデート で 両方 の 脆弱性 が 修正 されます。Express.js アプリケーション の 管理者 は 速やか に 対応 して ください。
CVSSベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 7.5 |
| 深刻度 | High |
| CWE | CWE-459 (リソースクリーンアップ不備) |
| 攻撃元 | ネットワーク |
| 攻撃条件 | 低 |
| 認証 | 不要 |
影響を受けるソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Multer | expressjs | 2.1.0 未満 |
修正バージョンと回避策
- 修正バージョン: Multer 2.1.0 へ アップデート して ください
- 暫定回避策: リバースプロキシ で リクエスト の バリデーション や レート制限 を 設定 し、不正 な リクエスト を フィルタリング する こと で リスク を 軽減 できます
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。