MEDIUMCVE-2026-32630CVSS 5.3

file-type: ZIP 解压缩炸弹 DoS 通过 [Content_Types].xml 条目

Q: CVE-2026-32630 是什么 — file-type 中的 DoS？

它是一个 JavaScript 库，用于根据其内容确定文件的类型。它通常用于 Web 和桌面应用程序，以安全地验证和处理文件。

Q: file-type 中的 CVE-2026-32630 是否会影响我？

如果您使用的是 21.3.2 之前的 `file-type` 版本，则很可能受到影响。您可以使用 `npm list file-type` 或 `yarn list file-type` 检查已安装的版本。

Q: 如何修复 file-type 中的 CVE-2026-32630？

如果无法立即更新，请考虑实施其他缓解措施，例如限制用于 `file-type` 进程的可用内存量。

Q: CVE-2026-32630 是否正在被积极利用？

有恶意软件分析工具可以帮助检测恶意 ZIP 文件。但是，最好的防御是保持您的库更新。

Q: 在哪里可以找到 file-type 关于 CVE-2026-32630 的官方安全通告？

虽然该漏洞在 ZIP 文件中表现出来，但根本问题是对于已知大小的输入缺乏数据扩展限制。这可能会影响 `file-type` 尝试检测的其他文件格式。

平台

nodejs

组件

file-type

修复版本

20.0.1

21.3.2

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

正在翻译为您的语言…

CVE-2026-32630 describes a Denial of Service (DoS) vulnerability within the file-type Node.js module. A maliciously crafted ZIP archive can trigger excessive memory allocation during file type detection processes like fileTypeFromBuffer(), fileTypeFromBlob(), or fileTypeFromFile(). This can lead to application instability and potential crashes, particularly in applications relying on accurate file type identification. The vulnerability impacts versions of file-type prior to 21.3.2, and a fix is available in version 21.3.2.

影响与攻击场景

CVE-2026-32630 在 file-type 库中允许攻击者在分析恶意 ZIP 文件时触发过多的内存增长。问题在于 file-type 如何处理已知大小的 ZIP 文件以确定其类型。虽然对于基于流的检测施加了限制，但这些限制不适用于已知大小的输入。一个小的压缩 ZIP 文件可以被设计为在检测过程中触发显著的扩展，尤其是在尝试识别 OOXML 等基于 ZIP 的格式时。这可能导致拒绝服务 (DoS) 条件，从而耗尽系统内存资源。

利用背景

攻击者可以通过向使用 file-type 库来确定文件类型的应用程序发送专门设计的 ZIP 文件来利用此漏洞。ZIP 文件将被压缩为在检测过程中解压缩时需要不成比例的内存量。这可能发生在 Web 服务器、文件处理应用程序或使用 file-type 进行文件类型验证的任何系统上。利用的复杂性相对较低，仅需要创建恶意 ZIP 文件。

哪些人处于风险中翻译中…

Applications built on Node.js that rely on the file-type module for file type identification are at risk. This includes web applications, file processing services, and any system handling user-uploaded files. Legacy applications using older versions of file-type are particularly vulnerable, as are applications that do not perform adequate input validation on uploaded files.

检测步骤翻译中…

• nodejs / server:

  ps aux | grep file-type | grep -v grep | awk '{print $2}' | xargs -n 1 node -e 'const ft = require("file-type"); console.log(ft.fileType(Buffer.alloc(0).toString())' # Check for excessive memory usage during file type detection

• generic web:

  curl -I 'http://your-application/file-upload' # Check for file upload endpoints
  grep -i 'zip' /var/log/apache2/access.log # Monitor for ZIP file uploads

攻击时间线

2026-03-13Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

NextGuard97% 仍然脆弱

EPSS

0.05% (16% 百分位)

CISA SSVC

利用情况poc

可自动化yes

受影响的软件

组件file-type

供应商osv

影响范围修复版本

>= 20.0.0, < 21.3.2 – >= 20.0.0, < 21.3.220.0.1

20.0.021.3.2

弱点分类 (CWE)

CWE-409

时间线

已保留2026-03-12
发布日期2026-03-13
修改日期2026-03-19
EPSS 更新日期2026-03-23

披露后0天发布补丁

缓解措施和替代方案

减轻此漏洞的解决方案是将 file-type 库更新到 21.3.2 或更高版本。此版本修复了已知大小的输入缺乏扩展限制的问题，确保类型检测过程不会消耗过多的内存，即使在分析恶意 ZIP 文件时也是如此。建议尽快应用此更新以保护您的系统免受潜在攻击。此外，请审查 file-type 处理的文件的来源，以确保它们来自受信任的来源。

修复方法翻译中…

Actualice la biblioteca file-type a la versión 21.3.2 o superior. Esto corrige la vulnerabilidad de denegación de servicio causada por la descompresión ZIP excesiva. Puede actualizar usando npm o yarn.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-32630 是什么 — file-type 中的 DoS？

它是一个 JavaScript 库，用于根据其内容确定文件的类型。它通常用于 Web 和桌面应用程序，以安全地验证和处理文件。

file-type 中的 CVE-2026-32630 是否会影响我？

如果您使用的是 21.3.2 之前的 file-type 版本，则很可能受到影响。您可以使用 npm list file-type 或 yarn list file-type 检查已安装的版本。

如何修复 file-type 中的 CVE-2026-32630？

如果无法立即更新，请考虑实施其他缓解措施，例如限制用于 file-type 进程的可用内存量。

CVE-2026-32630 是否正在被积极利用？