Yuki-Matsuhashi

**Nome do Software Vulnerável e Versões Afetadas** multer versões 2.0.0-alpha.1 até 2.1.1 multer versão 3.0.0-alpha.1 **Description** Um problema de Negação de Serviço ocorre ao utilizar diskStorage. Uploads multipart abortados ou malformados deixam arquivos parciais órfãos no disco porque a chamada `Readable.pipe()` não propaga o sinal de destruição do fluxo para o `fs.WriteStream` subjacente. Isso permite que um invasor esgote o espaço em disco disparando inúmeros uploads abortados. **Recommendations** Atualizar para a versão 2.2.0 para as versões 2.0.0-alpha.1 até 2.1.1. Atualizar para a versão 3.0.0-alpha.2 para a versão 3.0.0-alpha.1.

**Name of the Vulnerable Software and Affected Versions** @fastify/static versões 8.0.0 até 9.1.0 **Description** Ocorre traversal de caminho quando a listagem de diretórios está habilitada através da opção `list`. A função `dirList.path()` resolve diretórios fora da raiz estática configurada usando `path.join()` sem uma verificação de contenção. Um atacante remoto não autenticado pode obter listagens de diretórios para diretórios arbitrários acessíveis ao processo Node.js, expondo nomes de diretórios e arquivos, embora o conteúdo dos arquivos não seja revelado. **Recommendations** Atualize para a versão 9.1.1. Como alternativa temporária, desabilite a listagem de diretórios removendo a opção `list` da configuração do plugin.