file-type определяет тип файла, потока или данных. В версиях с 20.0.0 по 21.3.1 созданный ZIP-файл может вызвать чрезмерный рост памяти во время определения типа в файле-type при использовании fileTypeFromBuffer(), fileTypeFromBlob() или fileTypeFromFile(). Ограничение вывода ZIP-расширения применяется для обнаружения на основе потоков, но не для входных данных известного размера.
В результате небольшой сжатый ZIP-файл может привести к раздуванию типа файла и обработке гораздо большей полезной нагрузки при проверке форматов на основе ZIP, таких как OOXML. Эта уязвимость исправлена в версии 21.3.2.
Показать оригинальное описание (EN)
file-type detects the file type of a file, stream, or data. From 20.0.0 to 21.3.1, a crafted ZIP file can trigger excessive memory growth during type detection in file-type when using fileTypeFromBuffer(), fileTypeFromBlob(), or fileTypeFromFile(). The ZIP inflate output limit is enforced for stream-based detection, but not for known-size inputs. As a result, a small compressed ZIP can cause file-type to inflate and process a much larger payload while probing ZIP-based formats such as OOXML. This vulnerability is fixed in 21.3.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Sindresorhus File-Type
cpe:2.3:a:sindresorhus:file-type:*:*:*:*:*:node.js:*:*
|
20.0.0
|
21.3.2
|