Platform
nodejs
Component
file-type
Opgelost in
20.0.1
21.3.2
CVE-2026-32630 beschrijft een Denial of Service (DoS) kwetsbaarheid in de file-type bibliotheek voor Node.js. Een speciaal ontworpen ZIP-bestand kan leiden tot excessieve geheugengroei tijdens het detecteren van bestandstypen, met name bij het gebruik van fileTypeFromBuffer(), fileTypeFromBlob() of fileTypeFromFile(). Deze kwetsbaarheid treft versies van file-type lager dan 21.3.2 en kan leiden tot systeeminstabiliteit of crashes.
Een aanvaller kan deze kwetsbaarheid misbruiken door een kwaadwillend ZIP-bestand te uploaden of te versturen naar een systeem dat file-type gebruikt. Het ZIP-bestand is ontworpen om, bij verwerking door file-type, een aanzienlijk grotere hoeveelheid geheugen te consumeren dan de oorspronkelijke bestandsgrootte. Dit kan leiden tot een Denial of Service, waarbij het systeem overbelast raakt en niet meer in staat is om andere taken uit te voeren. De impact kan variëren afhankelijk van de beschikbare geheugenbronnen en de belasting van het systeem. In ernstige gevallen kan dit leiden tot een crash van de applicatie of zelfs het hele systeem. De kwetsbaarheid lijkt te profiteren van een gebrek aan adequate limieten voor de grootte van de opgeblazen payload bij ZIP-detectie, in tegenstelling tot stream-based detectie.
Op het moment van publicatie is er geen openbare exploitatie bekend. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en de publicatiedatum is 2026-03-13. De EPSS score is nog niet bekend, maar gezien het feit dat het een DoS kwetsbaarheid betreft en er geen openbare exploits zijn, wordt de kans op actieve exploitatie momenteel als laag ingeschat. Er is geen vermelding op de CISA KEV catalogus.
Applications built on Node.js that rely on the file-type module for file type identification are at risk. This includes web applications, file processing services, and any system handling user-uploaded files. Legacy applications using older versions of file-type are particularly vulnerable, as are applications that do not perform adequate input validation on uploaded files.
• nodejs / server:
ps aux | grep file-type | grep -v grep | awk '{print $2}' | xargs -n 1 node -e 'const ft = require("file-type"); console.log(ft.fileType(Buffer.alloc(0).toString())' # Check for excessive memory usage during file type detection• generic web:
curl -I 'http://your-application/file-upload' # Check for file upload endpoints
grep -i 'zip' /var/log/apache2/access.log # Monitor for ZIP file uploadsdisclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-32630 is het upgraden van de file-type bibliotheek naar versie 21.3.2 of hoger. Deze versie bevat de benodigde correcties om de overmatige geheugengroei te voorkomen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een WAF (Web Application Firewall) die ZIP-bestanden met verdachte kenmerken blokkeert. Daarnaast kan het beperken van de maximale geheugengrootte die een proces kan gebruiken, de impact van een succesvolle exploitatie verminderen. Controleer na de upgrade of de type detectie correct functioneert met legitieme bestanden om te bevestigen dat de kwetsbaarheid is verholpen.
Werk de file-type bibliotheek bij naar versie 21.3.2 of hoger. Dit corrigeert de denial-of-service kwetsbaarheid veroorzaakt door overmatige ZIP decompressie. U kunt bijwerken met npm of yarn.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-32630 is a denial-of-service vulnerability in the file-type Node.js module. A crafted ZIP file can cause excessive memory growth, potentially crashing the application.
You are affected if you are using a version of the file-type module prior to 21.3.2 and process user-supplied ZIP files.
Upgrade the file-type module to version 21.3.2 or later. Consider input validation as an interim measure.
There is currently no evidence of active exploitation, but the vulnerability is relatively simple to exploit.
Refer to the file-type module's repository or documentation for the official advisory and release notes.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.