MEDIUMCVE-2026-31808CVSS 5.3

不正な入力におけるASFパーサーの無限ループにより影響を受けるファイルタイプ

Q: CVE-2026-31808 — DoS脆弱性はfile-type Node.jsモジュールで何ですか？

CVE-2026-31808は、ASFファイルの解析処理におけるDoS脆弱性で、特定の条件で無限ループが発生し、Node.jsのイベントループを停止させる可能性があります。

Q: CVE-2026-31808による脆弱性は、影響を受けますか？

Node.jsアプリケーションでfile-typeモジュールを使用し、バージョン21.3以前のASFファイルを解析している場合は、影響を受ける可能性があります。

Q: CVE-2026-31808を修正するにはどうすればよいですか？

file-typeモジュールをバージョン21.3.1以降にアップグレードしてください。アップグレードが困難な場合は、一時的な回避策を検討してください。

Q: CVE-2026-31808は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、DoS攻撃の可能性を考慮し、迅速な対応が必要です。

Q: CVE-2026-31808に関する公式のfile-typeモジュールのアドバイザリはどこで入手できますか？

file-typeモジュールの公式リポジトリまたはNode.jsのセキュリティアドバイザリを参照してください。

プラットフォーム

nodejs

コンポーネント

file-type

修正版

13.0.1

21.3.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-31808は、Node.jsのfile-typeモジュールにおけるサービス拒否（DoS）脆弱性です。ASF（WMV/WMA）ファイルタイプの解析処理において、特定の条件が満たされると無限ループに陥り、Node.jsのイベントループが停止する可能性があります。この脆弱性は、バージョン21.3以前のfile-typeモジュールに影響を与え、バージョン21.3.1で修正されました。

影響と攻撃シナリオ

この脆弱性は、file-typeモジュールを使用して、信頼できないまたは攻撃者制御の入力ファイルのタイプを検出するアプリケーションに影響を与えます。攻撃者は、55バイトのペイロードを含む悪意のあるASFファイルを解析することで、Node.jsのイベントループを停止させ、サービス拒否を引き起こす可能性があります。これにより、アプリケーションが応答しなくなり、利用できなくなる可能性があります。攻撃者は、この脆弱性を悪用して、システムリソースを枯渇させ、他の攻撃を仕掛けるための足がかりにすることも考えられます。

悪用の状況

この脆弱性は、2026年3月10日に公開されました。現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、DoS攻撃の可能性を考慮し、迅速な対応が必要です。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Applications that rely on the file-type module to determine file types, particularly those handling untrusted or attacker-controlled input, are at risk. This includes web applications with file upload functionality, media processing services, and any Node.js application utilizing the file-type module for file type detection.

検出手順翻訳中…

• nodejs / server:

npm list file-type

This command will list the installed version of the file-type module. If the version is less than 21.3.1, the system is vulnerable.

• nodejs / server:

journalctl -u nodejs | grep -i "file-type"

Monitor Node.js logs for any errors or unusual activity related to the file-type module, particularly around file parsing.

• generic web: Inspect file upload endpoints for proper ASF file validation. Ensure that the size field of ASF sub-headers is validated to prevent zero-sized values.

攻撃タイムライン

2026-03-10Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard97% まだ脆弱

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントfile-type

ベンダーosv

影響範囲修正版

>= 13.0.0, < 21.3.1 – >= 13.0.0, < 21.3.113.0.1

13.0.021.3.1

弱点分類 (CWE)

CWE-835

タイムライン

予約済み2026-03-09
公開日2026-03-10
更新日2026-03-19
EPSS 更新日2026-03-23

公開後-1日でパッチ適用

緩和策と回避策

この脆弱性への主な対策は、file-typeモジュールをバージョン21.3.1以降にアップグレードすることです。アップグレードが困難な場合は、信頼できない入力ファイルの解析を一時的に停止するか、ファイルタイプ検出の代替手段を検討してください。WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のあるASFファイルの解析をブロックすることも有効です。また、Node.jsアプリケーションのログを監視し、異常なイベントループの停止を検出するためのカスタム監視ルールを実装することも推奨されます。

修正方法

`file-type`の依存関係をバージョン21.3.1以降にアップデートしてください。これにより、不正なASFファイルの処理における無限ループによって引き起こされるサービス拒否の脆弱性が修正されます。`npm install file-type@latest`または`yarn upgrade file-type`を実行してアップデートしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-31808 — DoS脆弱性はfile-type Node.jsモジュールで何ですか？