MEDIUMCVE-2026-32630CVSS 5.3

file-type: ZIP 減圧ボム DoS via [Content_Types].xml エントリ

Q: CVE-2026-32630 in file-type for Node.jsの影響はありますか？

はい、file-typeライブラリのバージョン21.3.1以前を使用している場合、この脆弱性によりDoS攻撃を受ける可能性があります。

Q: CVE-2026-32630 in file-type for Node.jsを修正するにはどうすればよいですか？

file-typeライブラリをバージョン21.3.2以降にアップグレードしてください。アップグレードが困難な場合は、ZIPファイルのサイズ制限などの回避策を検討してください。

Q: CVE-2026-32630は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、DoS攻撃の可能性を考慮すると、悪用される可能性はあります。

Q: CVE-2026-32630に関するfile-type for Node.jsの公式アドバイザリはどこで入手できますか？

file-typeライブラリのGitHubリポジトリ（https://github.com/sindresorhus/file-type）を参照してください。

プラットフォーム

nodejs

コンポーネント

file-type

修正版

20.0.1

21.3.2

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-32630は、Node.jsのfile-typeライブラリにおけるサービス拒否（DoS）脆弱性です。悪意のあるZIPファイルが、fileTypeFromBuffer(), fileTypeFromBlob(), または fileTypeFromFile()関数を使用する際に、過剰なメモリ消費を引き起こす可能性があります。この脆弱性は、file-typeのバージョン21.3.1以前に影響を与えます。最新バージョン（21.3.2）へのアップグレードにより、この問題は解決されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者が特別に細工されたZIPファイルを送信することで、file-typeライブラリが大量のメモリを消費するDoS攻撃を引き起こすことを可能にします。攻撃者は、比較的小さなZIPファイル（約255KB）を使用して、file-typeが257MB以上のメモリを消費するように仕向け、システムリソースを枯渇させ、サービスを停止させることが可能です。この攻撃は、特にメモリリソースが限られている環境において、深刻な影響を及ぼす可能性があります。攻撃者は、この脆弱性を悪用して、アプリケーションの可用性を低下させ、他の攻撃を仕掛けるための足がかりにすることも考えられます。

悪用の状況

この脆弱性は、2026年3月13日に公開されました。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、DoS攻撃の可能性を考慮すると、攻撃者による悪用が懸念されます。CISAのKEV（Known Exploited Vulnerabilities）カタログへの登録状況は不明です。NVD（National Vulnerability Database）の情報も参照し、最新の状況を把握することが重要です。

リスク対象者翻訳中…

Applications built on Node.js that rely on the file-type module for file type identification are at risk. This includes web applications, file processing services, and any system handling user-uploaded files. Legacy applications using older versions of file-type are particularly vulnerable, as are applications that do not perform adequate input validation on uploaded files.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep file-type | grep -v grep | awk '{print $2}' | xargs -n 1 node -e 'const ft = require("file-type"); console.log(ft.fileType(Buffer.alloc(0).toString())' # Check for excessive memory usage during file type detection

• generic web:

  curl -I 'http://your-application/file-upload' # Check for file upload endpoints
  grep -i 'zip' /var/log/apache2/access.log # Monitor for ZIP file uploads

攻撃タイムライン

2026-03-13Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

NextGuard97% まだ脆弱

EPSS

0.05% (16% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

影響を受けるソフトウェア

コンポーネントfile-type

ベンダーosv

影響範囲修正版

>= 20.0.0, < 21.3.2 – >= 20.0.0, < 21.3.220.0.1

20.0.021.3.2

弱点分類 (CWE)

CWE-409

タイムライン

予約済み2026-03-12
公開日2026-03-13
更新日2026-03-19
EPSS 更新日2026-03-23

公開後0日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、file-typeライブラリをバージョン21.3.2以降にアップグレードすることです。アップグレードがシステムに影響を与える場合は、一時的な回避策として、ZIPファイルのサイズを制限するカスタムのバリデーションロジックを実装することを検討してください。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、悪意のあるZIPファイルのアップロードをブロックすることも有効です。file-typeライブラリを使用するアプリケーションのログを監視し、異常なメモリ使用量の増加を検出することも重要です。

修正方法

file-type ライブラリをバージョン 21.3.2 以降にアップデートしてください。これにより、過剰な ZIP 減圧によって引き起こされるサービス拒否の脆弱性が修正されます。npm または yarn を使用してアップデートできます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-32630 — DoS in file-type for Node.jsとは何ですか？

CVE-2026-32630は、Node.jsのfile-typeライブラリにおけるサービス拒否（DoS）脆弱性です。悪意のあるZIPファイルにより、メモリ使用量が異常に増加し、システムが停止する可能性があります。

CVE-2026-32630 in file-type for Node.jsの影響はありますか？