Plateforme
nodejs
Composant
file-type
Corrigé dans
20.0.1
21.3.2
La vulnérabilité CVE-2026-32630 est une faille de type Denial of Service (DoS) affectant le module Node.js file-type. Un fichier ZIP spécialement conçu peut déclencher une croissance excessive de la mémoire lors de la détection du type de fichier en utilisant les fonctions fileTypeFromBuffer(), fileTypeFromBlob() ou fileTypeFromFile(). Cette vulnérabilité concerne les versions antérieures à 21.3.2 et peut entraîner un blocage de l'application.
Un attaquant peut exploiter cette vulnérabilité en soumettant un fichier ZIP malformé à une application utilisant le module file-type. Le module, en tentant de déterminer le type de fichier, allouera de plus en plus de mémoire, ce qui peut conduire à un épuisement des ressources système et à un crash de l'application. La taille du fichier ZIP compressé peut être relativement petite (environ 255 Ko), mais l'expansion lors de l'extraction peut atteindre des tailles significatives (environ 257 Mo dans les tests), amplifiant l'impact. Cette attaque peut rendre un service indisponible, interrompant les opérations et potentiellement affectant la disponibilité de l'application.
Cette vulnérabilité a été rendue publique le 2026-03-13. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, compte tenu de la simplicité de l'exploitation et de la large utilisation du module file-type. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles preuves d'exploitation.
Applications built on Node.js that rely on the file-type module for file type identification are at risk. This includes web applications, file processing services, and any system handling user-uploaded files. Legacy applications using older versions of file-type are particularly vulnerable, as are applications that do not perform adequate input validation on uploaded files.
• nodejs / server:
ps aux | grep file-type | grep -v grep | awk '{print $2}' | xargs -n 1 node -e 'const ft = require("file-type"); console.log(ft.fileType(Buffer.alloc(0).toString())' # Check for excessive memory usage during file type detection• generic web:
curl -I 'http://your-application/file-upload' # Check for file upload endpoints
grep -i 'zip' /var/log/apache2/access.log # Monitor for ZIP file uploadsdisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 16%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le module file-type vers la version 21.3.2 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en place des contrôles de validation des fichiers ZIP entrants pour limiter la taille maximale des fichiers traités. Une solution temporaire pourrait consister à limiter la quantité de mémoire allouée aux processus Node.js, mais cela pourrait affecter les performances de l'application. Après la mise à jour, vérifiez que la détection du type de fichier fonctionne correctement avec des fichiers ZIP valides et testez avec des fichiers ZIP potentiellement malveillants pour confirmer la correction.
Mettez à jour la bibliothèque file-type à la version 21.3.2 ou supérieure. Cela corrige la vulnérabilité de déni de service causée par la décompression ZIP excessive. Vous pouvez mettre à jour en utilisant npm ou yarn.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32630 is a denial-of-service vulnerability in the file-type Node.js module. A crafted ZIP file can cause excessive memory growth, potentially crashing the application.
You are affected if you are using a version of the file-type module prior to 21.3.2 and process user-supplied ZIP files.
Upgrade the file-type module to version 21.3.2 or later. Consider input validation as an interim measure.
There is currently no evidence of active exploitation, but the vulnerability is relatively simple to exploit.
Refer to the file-type module's repository or documentation for the official advisory and release notes.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.