CVE-2026-31808

Nome do Software Vulnerável e Versões Afetadas versões do file-type anteriores à 21.3.1

Descrição Existe uma vulnerabilidade de negação de serviço no parser de detecção de tipo de arquivo ASF (WMV/WMA) no file-type. Ao processar uma entrada especialmente elaborada na qual um sub-cabeçalho ASF possui um campo de tamanho zero, o parser fica preso em um loop infinito. O valor do payload torna-se negativo (-24), fazendo com que tokenizer.ignore(payload) mova a posição de leitura para trás, lendo repetidamente o mesmo sub-cabeçalho. Aplicações que utilizam o file-type para detectar o tipo de entrada não confiável estão suscetíveis. Um atacante pode interromper o event loop do Node.js com um payload de 55 bytes.

Recomendações Atualize para a versão 21.3.1 ou posterior.