CVE-2026-31988
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/03/2026
Última modificación:
12/03/2026
Descripción
yauzl (también conocida como Yet Another Unzip Library) versión 3.2.0 para Node.js contiene un error de off-by-one en el analizador del campo extra de marca de tiempo extendida NTFS dentro de la función getLastModDate(). La condición del bucle 'while' comprueba cursor < data.length + 4 en lugar de cursor + 4 <= data.length, permitiendo que readUInt16LE() lea más allá del límite del búfer. Un atacante remoto puede causar una denegación de servicio (caída del proceso a través de una excepción ERR_OUT_OF_RANGE) al enviar un archivo zip manipulado con un campo extra NTFS malformado. Esto afecta a cualquier aplicación Node.js que procesa cargas de archivos zip y llama a entry.getLastModDate() en las entradas analizadas. Corregido en la versión 3.2.1.
Impacto
Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/thejoshwolfe/yauzl/commit/c4695215b05c6adffda613b9051a2a85429b33fe
- https://www.codeant.ai/security-research/yauzl-denial-of-service-zip-file-crash
- https://www.npmjs.com/package/yauzl
- https://www.vulncheck.com/advisories/yauzl-denial-of-service-via-off-by-one-error-in-ntfs-timestamp-parser
- https://www.codeant.ai/security-research/yauzl-denial-of-service-zip-file-crash