CVE-2026-42795 in Gleaminformación

Resumen

por VulDB • 2026-06-02

Vulnerabilidad de seguimiento de enlaces simbólicos en la exportación del paquete Hex de Gleam que permite incrustar archivos fuera de la raíz del proyecto en el archivo tar del paquete generado.

Los ayudantes de recopilación de archivos (gleam_files, native_files, private_files) en compiler-cli/src/fs.rs utilizan follow_links(true) al recorrer directorios publicables como src/ y priv/. Las rutas recopiladas se añaden al archivo del paquete mediante add_path_to_tar en compiler-cli/src/publish.rs sin verificar que el objetivo resuelto permanezca dentro de la raíz del proyecto. Un enlace simbólico colocado bajo un directorio publicable hará que gleam export hex-tarball o gleam publish incrusten el contenido del objetivo del enlace simbólico en el paquete Hex generado.

Un atacante con acceso de escritura al repositorio del proyecto puede colocar un enlace simbólico en src/ o priv/ que apunte a un archivo arbitrario. Cuando un mantenedor o una canalización de CI ejecuta gleam publish o gleam export hex-tarball, los archivos locales legibles por el publicador (como secretos, tokens o claves SSH) se incrustan silenciosamente en el artefacto del paquete publicado.

Este problema afecta a Gleam desde la versión 0.10.0-rc1 hasta la 1.17.0.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

EEF

Reservar

2026-04-29

Divulgación

2026-06-02

Moderación

aceptado

Artículo

VDB-367951

CPE

listo

EPSS

0.00014

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42795
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42795
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42795/

AnteriorVisión De ConjuntoPróximo

Interested in the pricing of exploits?

See the underground prices here!