Dosya yüklemelerini işlemek için Node.js uygulamalarında kullanılan popüler bir ara katman yazılımı olan Multer’da iki yüksek şiddetli güvenlik kusuru tanımlanmıştır. CVE-2025-47944 ve CVE-2025-47935 olarak izlenen Multer güvenlik açıkları, 1.4.4-lts.1’den 2.0.0’a kadar tüm sürümleri etkiler.
GitHub Post’a göre, iki güvenlik açığı “bir saldırganın, hatalı formsuz bir çok parçalı yükleme isteği göndererek bir hizmet reddi (DOS) tetiklemesine izin veriyor. Bu istek, işlenmemiş bir istisnaya neden oluyor ve sürecin çökmesine neden oluyor.
Yüksek riskli Multer güvenlik açıklarının detayları
CVE-2025-47944 ile ilişkili ilk güvenlik açığı, saldırganların kötü bir şekilde hazırlanmış çok partili/form veri isteği göndererek bir Node.js uygulamasını çarpmasına izin verir. Bu kötü biçimlendirilmiş istek, ayrıştırma sırasında zorlanmamış bir istisna neden olur ve sunucu işleminin derhal feshedilmesine yol açar. GitHub danışmanlığı GHSA-4PG4-QVPC-4Q3H’ye göre, bu kusur CVSS v3.1 ölçeğinde 7.5 puan alır ve onu yüksek şiddetli bir sorun olarak sınıflandırır.
Ayrı ama eşit derecede kritik bir bulguda, CVE-2025-47935, 2.0.0’dan önceki sürümlerde bir bellek sızıntısı güvenlik açığı ortaya çıkar. Sorun, HTTP isteği akışları hataları yaydığında ve Multer’ın dahili olarak kapatılmadığı zaman ortaya çıkar. busboy düzgün akış. Zamanla, bu, bellek ve dosya tanımlayıcıları gibi değerli sistem kaynakları tüketerek biriken akışlar ile sonuçlanır. Sonuç: Sürekli veya tekrarlanan arıza koşulları altında bir sunucuyu sakatlayabilecek potansiyel bir DOS senaryosu.
Her iki kusur da başlangıçta @max-mathieu, @wesleytodd, @ulisesgascon ve @marco-ispolito’nun katkılarıyla güvenlik araştırmacısı @CTCPIP tarafından bildirildi ve analiz edildi. Sorunları tetiklemek için hiçbir ayrıcalık veya kullanıcı etkileşimi gerekmediği göz önüne alındığında, kolektif bulguları sömürü şiddetini ve kolaylığını vurgulamaktadır.
Bu güvenlik açıkları neden önemlidir?
Bu kusurları özellikle kötü niyetli yapan şey, ara katman yazılımının temel işlevidir-kullanıcı tarafından yüklenen içeriği işler. Bu, doğası gereği, özellikle kamuya dönük uygulamalarda, saldırı yüzeylerinin ön saflarına yerleştirir. Bu nedenle, tek bir kötü niyetli talep bile bu zayıflıktan yararlanabilir ve potansiyel olarak tam hizmet kesintilerine yol açar.
Multer, Node.js ekosistemine derinlemesine gömülüdür. NPM üzerinden milyonlarca haftalık indirme ile, kişisel web sitelerinden kurumsal sınıf platformlarına kadar değişen uygulamalar için dosya yüklemeleri güçlendirir.
1176 ve #1120 numaralı konulardaki resmi tavsiye ve tartışmalara göre, her iki güvenlik açığı için geçici çözüm yoktur. Tek etkili hafifletme, bu güvenlik boşluklarını kapatmak için gerekli yamaları içeren 2.0.0 sürümüne yükseltilmektir.
Güncellemeyi hemen dağıtamayan kuruluşlar için, geçici bir koruma yöntemi olarak çarpışma günlüklerinin ve sistem kaynaklarının daha fazla izlenmesi önerilir, ancak bu hiçbir şekilde uygun bir düzeltmenin yerine geçmez.
Çözüm
Kusurlar-CVE-2025-47944 ve CVE-2025-47935-Node.js Topluluğu için daha geniş bir dersin yüksekliği: Yaygın olarak benimsenen ve güvenilir paketler bile kritik güvenlik riskleri getirebilir.
CVE-2025-47944 ve CVE-2025-47935 ile ilişkili riski azaltmak için kuruluşlar, düzenli bağımlılık denetimleri, otomatik güvenlik açığı taraması ve node.js akış güvenlik kılavuzlarına bağlılık, özellikle de dosya yüklemeleri gibi işlemler gibi proaktif güvenlik uygulamaları uygulamalıdır.
Ayrıca, Multer kullanan tüm geliştiriciler ve kuruluşlar, hiçbir geçici çözüm olduğu için hemen 2.0.0 sürümüne yükseltilmelidir.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.