CVE-2026-32146 in Gleam
Riassunto
di VulDB • 21/06/2026
Una vulnerabilità di convalida impropria del percorso nella gestione delle dipendenze git da parte del compilatore Gleam consente la modifica arbitraria del file system durante il download delle dipendenze.
I nomi delle dipendenze presenti in gleam.toml e manifest.toml vengono incorporati nei percorsi del file system senza una convalida o un confinamento sufficienti alla directory di destinazione, consentendo a percorsi controllati dall'attaccante (ad esempio tramite traversamenti relativi come ../ o percorsi assoluti) di colpire posizioni del file system esterne a tale directory. Durante la risoluzione delle dipendenze git (ad esempio tramite `gleam deps download`), il percorso calcolato viene utilizzato per operazioni sul file system, inclusa l'eliminazione e la creazione di directory.
Questa vulnerabilità si verifica durante la fase di risoluzione e download delle dipendenze, che generalmente dovrebbe essere limitata al recupero e alla preparazione delle dipendenze all'interno di una directory confinata. Una dipendenza git diretta o transitiva malevola può sfruttare questo problema per eliminare e sovrascrivere directory arbitrarie esterne alla directory di destinazione prevista, inclusi percorsi assoluti scelti dall'attaccante, causando potenzialmente la perdita di dati. In alcuni ambienti, ciò potrebbe essere ulteriormente sfruttato per ottenere l'esecuzione di codice, ad esempio sovrascrivendo hook git o file di configurazione della shell.
Questo problema interessa Gleam dalla versione 1.9.0-rc1 alla 1.15.4.
If you want to get best quality of vulnerability data, you may have to visit VulDB.