Plataforma
nodejs
Componente
file-type
Corrigido em
20.0.1
21.3.2
A vulnerabilidade CVE-2026-32630 é uma falha de Negação de Serviço (DoS) no módulo file-type para Node.js. Um arquivo ZIP especialmente criado pode levar a um crescimento excessivo de memória durante a detecção de tipos, utilizando as funções fileTypeFromBuffer(), fileTypeFromBlob() ou fileTypeFromFile(). A vulnerabilidade afeta versões anteriores a 21.3.2 e pode resultar em instabilidade do sistema.
Um atacante pode explorar esta vulnerabilidade enviando um arquivo ZIP malicioso para um sistema que utiliza o módulo file-type. Devido à falta de limites adequados para entradas de tamanho conhecido, o file-type pode inflar e processar um payload significativamente maior do que o tamanho original do arquivo ZIP. Em testes, um arquivo ZIP de aproximadamente 255 KB causou um aumento de 257 MB no uso de memória. Este consumo excessivo de memória pode levar à exaustão de recursos, travamentos de aplicativos e, em casos extremos, à indisponibilidade do sistema, resultando em uma negação de serviço. A ausência de validação adequada do tamanho do arquivo antes da descompressão permite que um atacante amplie o impacto da vulnerabilidade.
A vulnerabilidade foi divulgada em 2026-03-13. Não há informações disponíveis sobre exploração ativa ou sua inclusão no KEV (CISA Known Exploited Vulnerabilities) no momento da publicação. Não foram identificados Proof-of-Concepts (PoCs) públicos amplamente divulgados, mas a natureza da vulnerabilidade DoS a torna potencialmente explorável, especialmente em ambientes onde o file-type é utilizado para processar arquivos enviados por usuários.
Applications built on Node.js that rely on the file-type module for file type identification are at risk. This includes web applications, file processing services, and any system handling user-uploaded files. Legacy applications using older versions of file-type are particularly vulnerable, as are applications that do not perform adequate input validation on uploaded files.
• nodejs / server:
ps aux | grep file-type | grep -v grep | awk '{print $2}' | xargs -n 1 node -e 'const ft = require("file-type"); console.log(ft.fileType(Buffer.alloc(0).toString())' # Check for excessive memory usage during file type detection• generic web:
curl -I 'http://your-application/file-upload' # Check for file upload endpoints
grep -i 'zip' /var/log/apache2/access.log # Monitor for ZIP file uploadsdisclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-32630 é atualizar o módulo file-type para a versão 21.3.2 ou superior, que inclui a correção para esta vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como limitar o tamanho máximo dos arquivos processados pelo file-type. Implementar um Web Application Firewall (WAF) com regras para bloquear arquivos ZIP suspeitos ou com tamanhos incomuns pode ajudar a reduzir o risco. Monitore o uso de memória do sistema para detectar anomalias que possam indicar uma exploração da vulnerabilidade. Após a atualização, confirme a correção verificando o uso de memória durante a detecção de tipos com arquivos ZIP de teste.
Atualize a biblioteca file-type para a versão 21.3.2 ou superior. Isso corrige a vulnerabilidade de negação de serviço causada pela descompressão ZIP excessiva. Você pode atualizar usando npm ou yarn.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32630 is a denial-of-service vulnerability in the file-type Node.js module. A crafted ZIP file can cause excessive memory growth, potentially crashing the application.
You are affected if you are using a version of the file-type module prior to 21.3.2 and process user-supplied ZIP files.
Upgrade the file-type module to version 21.3.2 or later. Consider input validation as an interim measure.
There is currently no evidence of active exploitation, but the vulnerability is relatively simple to exploit.
Refer to the file-type module's repository or documentation for the official advisory and release notes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.