CVE-2026-32146 in Gleaminformazioni

Riassunto

di VulDB • 21/06/2026

Una vulnerabilità di convalida impropria del percorso nella gestione delle dipendenze git da parte del compilatore Gleam consente la modifica arbitraria del file system durante il download delle dipendenze.

I nomi delle dipendenze presenti in gleam.toml e manifest.toml vengono incorporati nei percorsi del file system senza una convalida o un confinamento sufficienti alla directory di destinazione, consentendo a percorsi controllati dall'attaccante (ad esempio tramite traversamenti relativi come ../ o percorsi assoluti) di colpire posizioni del file system esterne a tale directory. Durante la risoluzione delle dipendenze git (ad esempio tramite `gleam deps download`), il percorso calcolato viene utilizzato per operazioni sul file system, inclusa l'eliminazione e la creazione di directory.

Questa vulnerabilità si verifica durante la fase di risoluzione e download delle dipendenze, che generalmente dovrebbe essere limitata al recupero e alla preparazione delle dipendenze all'interno di una directory confinata. Una dipendenza git diretta o transitiva malevola può sfruttare questo problema per eliminare e sovrascrivere directory arbitrarie esterne alla directory di destinazione prevista, inclusi percorsi assoluti scelti dall'attaccante, causando potenzialmente la perdita di dati. In alcuni ambienti, ciò potrebbe essere ulteriormente sfruttato per ottenere l'esecuzione di codice, ad esempio sovrascrivendo hook git o file di configurazione della shell.

Questo problema interessa Gleam dalla versione 1.9.0-rc1 alla 1.15.4.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

EEF

Prenotare

10/03/2026

Divulgazione

11/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00239

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!