Fehlerhafte Pfadvalidierung bei der Handhabung von Git-Abhängigkeiten ermöglicht willkürliche Dateisystemänderungen
Plattform
nodejs
Komponente
gleam-lang/gleam
Behoben in
*
*
*
v1.15.4-elixir
v1.15.4-erlang
v1.15.4-node
v1.15.4-node-slim
v1.15.4-elixir-slim
v1.15.4-erlang-slim
v1.15.4-erlang-alpine
v1.15.4-elixir-alpine
v1.15.4-node-alpine
v1.15.4-scratch
CVE-2026-32146 represents an arbitrary file access vulnerability discovered in the Gleam Compiler. This flaw arises from insufficient validation of paths used when resolving git dependencies, enabling attackers to potentially modify files outside the intended dependency directory. Versions affected include 1.9.0-rc1 through v1.15.4-scratch; however, a fix has been released in v1.15.4-scratch.
Auswirkungen und Angriffsszenarien
CVE-2026-32146 im Gleam-Compiler ermöglicht eine willkürliche Dateisystemänderung. Dies ist auf eine fehlerhafte Pfadvalidierung beim Umgang mit Git-Abhängigkeiten zurückzuführen. Der Compiler integriert bei der Auflösung von Abhängigkeiten, die in den Dateien gleam.toml und manifest.toml angegeben sind, die Namen der Abhängigkeiten in Dateisystempfade, ohne ausreichende Validierung. Ein Angreifer könnte dies ausnutzen, indem er Abhängigkeitsnamen verwendet, die relative Pfad-Traversal-Sequenzen (z. B. ../) oder absolute Pfade enthalten, um Dateisystemorte außerhalb des vorgesehenen Abhängigkeitsverzeichnisses zu erreichen. Die Schwere dieser Schwachstelle liegt in der Möglichkeit für einen Angreifer, Dateien an unerwarteten Orten zu schreiben, was potenziell die Integrität des Systems gefährdet oder die Ausführung von Schadcode ermöglicht, wenn sie erfolgreich ausgenutzt wird. Obwohl keine aktive Ausnutzung gemeldet wurde, stellt die Art der Schwachstelle ein erhebliches Risiko dar.
Ausnutzungskontext
Die Schwachstelle tritt während der Git-Abhängigkeitsauflösungsphase im Gleam-Compiler auf. Ein Angreifer könnte den Namen einer Abhängigkeit (entweder direkt oder über eine transitive Abhängigkeit) beeinflussen, um bösartige Pfad-Traversal-Sequenzen einzuschließen. Beispielsweise könnte ein Abhängigkeitsname wie ../../../../etc/passwd es dem Angreifer ermöglichen, in die Datei /etc/passwd zu schreiben und potenziell die Systemsicherheit zu gefährden. Für die Ausnutzung ist erforderlich, dass der Angreifer die Möglichkeit hat, die in dem Gleam-Projekt verwendeten Abhängigkeitsnamen zu kontrollieren oder zu beeinflussen. Das Fehlen einer robusten Pfadvalidierung ermöglicht es diesen bösartigen Namen, verwendet zu werden, um beliebige Dateipfade zu erstellen.
Bedrohungsanalyse
Exploit-Status
EPSS
0.02% (5% Perzentil)
CISA SSVC
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
- EPSS aktualisiert
Mitigation und Workarounds
Die Lösung für diese Schwachstelle besteht darin, auf Version 1.15.4-scratch des Gleam-Compilers zu aktualisieren. Diese Version enthält eine verbesserte Pfadvalidierung, die verhindert, dass Angreifer Dateipfade während des Herunterladens von Abhängigkeiten manipulieren. Eine sofortige Aktualisierung wird dringend empfohlen, um das Risiko zu mindern. Darüber hinaus sollten die in Gleam-Projekten verwendeten Abhängigkeiten überprüft werden, um sicherzustellen, dass keine bösartigen Abhängigkeitsnamen verwendet werden, die ausgenutzt werden könnten. Die Überwachung der Systemprotokolle auf ungewöhnliche Aktivitäten im Zusammenhang mit dem Abhängigkeitsdownload-Prozess kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen. Das Update ist die wichtigste präventive Maßnahme.
So behebenwird übersetzt…
Actualice a la versión 1.15.5 o superior para mitigar la vulnerabilidad. Esta actualización corrige la validación incorrecta de la ruta, evitando la modificación arbitraria del sistema de archivos durante la descarga de dependencias de Git.
CVE-Sicherheitsnewsletter
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Häufig gestellte Fragen
Was ist CVE-2026-32146 — Arbitrary File Access in Gleam Compiler?
Gleam ist eine funktionale Programmiersprache, die nach Erlang kompiliert und für den Aufbau skalierbarer und fehlertoleranter Anwendungen konzipiert ist.
Bin ich von CVE-2026-32146 in Gleam Compiler betroffen?
Das Update auf Version 1.15.4-scratch behebt eine Sicherheitslücke, die eine willkürliche Dateisystemänderung ermöglichen könnte.
Wie behebe ich CVE-2026-32146 in Gleam Compiler?
Verwenden Sie den entsprechenden Paketmanager für Ihr Betriebssystem (z. B. npm, cargo, mix), um auf Version 1.15.4-scratch zu aktualisieren.
Wird CVE-2026-32146 aktiv ausgenutzt?
Überprüfen Sie die Systemprotokolle auf ungewöhnliche Aktivitäten und erwägen Sie, eine umfassende Sicherheitsanalyse durchzuführen.
Wo finde ich den offiziellen Gleam Compiler-Hinweis für CVE-2026-32146?
Überprüfen Sie die in Ihren Gleam-Projekten verwendeten Abhängigkeiten und stellen Sie sicher, dass keine bösartigen Abhängigkeitsnamen verwendet werden.
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.