Plattform
nodejs
Komponente
gleam-lang/gleam
Behoben in
*
*
*
v1.15.4-elixir
v1.15.4-erlang
v1.15.4-node
v1.15.4-node-slim
v1.15.4-elixir-slim
v1.15.4-erlang-slim
v1.15.4-erlang-alpine
v1.15.4-elixir-alpine
v1.15.4-node-alpine
v1.15.4-scratch
CVE-2026-32146 represents an arbitrary file access vulnerability discovered in the Gleam Compiler. This flaw arises from insufficient validation of paths used when resolving git dependencies, enabling attackers to potentially modify files outside the intended dependency directory. Versions affected include 1.9.0-rc1 through v1.15.4-scratch; however, a fix has been released in v1.15.4-scratch.
CVE-2026-32146 im Gleam-Compiler ermöglicht eine willkürliche Dateisystemänderung. Dies ist auf eine fehlerhafte Pfadvalidierung beim Umgang mit Git-Abhängigkeiten zurückzuführen. Der Compiler integriert bei der Auflösung von Abhängigkeiten, die in den Dateien gleam.toml und manifest.toml angegeben sind, die Namen der Abhängigkeiten in Dateisystempfade, ohne ausreichende Validierung. Ein Angreifer könnte dies ausnutzen, indem er Abhängigkeitsnamen verwendet, die relative Pfad-Traversal-Sequenzen (z. B. ../) oder absolute Pfade enthalten, um Dateisystemorte außerhalb des vorgesehenen Abhängigkeitsverzeichnisses zu erreichen. Die Schwere dieser Schwachstelle liegt in der Möglichkeit für einen Angreifer, Dateien an unerwarteten Orten zu schreiben, was potenziell die Integrität des Systems gefährdet oder die Ausführung von Schadcode ermöglicht, wenn sie erfolgreich ausgenutzt wird. Obwohl keine aktive Ausnutzung gemeldet wurde, stellt die Art der Schwachstelle ein erhebliches Risiko dar.
Die Schwachstelle tritt während der Git-Abhängigkeitsauflösungsphase im Gleam-Compiler auf. Ein Angreifer könnte den Namen einer Abhängigkeit (entweder direkt oder über eine transitive Abhängigkeit) beeinflussen, um bösartige Pfad-Traversal-Sequenzen einzuschließen. Beispielsweise könnte ein Abhängigkeitsname wie ../../../../etc/passwd es dem Angreifer ermöglichen, in die Datei /etc/passwd zu schreiben und potenziell die Systemsicherheit zu gefährden. Für die Ausnutzung ist erforderlich, dass der Angreifer die Möglichkeit hat, die in dem Gleam-Projekt verwendeten Abhängigkeitsnamen zu kontrollieren oder zu beeinflussen. Das Fehlen einer robusten Pfadvalidierung ermöglicht es diesen bösartigen Namen, verwendet zu werden, um beliebige Dateipfade zu erstellen.
Exploit-Status
EPSS
0.02% (5% Perzentil)
CISA SSVC
Die Lösung für diese Schwachstelle besteht darin, auf Version 1.15.4-scratch des Gleam-Compilers zu aktualisieren. Diese Version enthält eine verbesserte Pfadvalidierung, die verhindert, dass Angreifer Dateipfade während des Herunterladens von Abhängigkeiten manipulieren. Eine sofortige Aktualisierung wird dringend empfohlen, um das Risiko zu mindern. Darüber hinaus sollten die in Gleam-Projekten verwendeten Abhängigkeiten überprüft werden, um sicherzustellen, dass keine bösartigen Abhängigkeitsnamen verwendet werden, die ausgenutzt werden könnten. Die Überwachung der Systemprotokolle auf ungewöhnliche Aktivitäten im Zusammenhang mit dem Abhängigkeitsdownload-Prozess kann ebenfalls dazu beitragen, potenzielle Ausnutzungsversuche zu erkennen. Das Update ist die wichtigste präventive Maßnahme.
Actualice a la versión 1.15.5 o superior para mitigar la vulnerabilidad. Esta actualización corrige la validación incorrecta de la ruta, evitando la modificación arbitraria del sistema de archivos durante la descarga de dependencias de Git.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Gleam ist eine funktionale Programmiersprache, die nach Erlang kompiliert und für den Aufbau skalierbarer und fehlertoleranter Anwendungen konzipiert ist.
Das Update auf Version 1.15.4-scratch behebt eine Sicherheitslücke, die eine willkürliche Dateisystemänderung ermöglichen könnte.
Verwenden Sie den entsprechenden Paketmanager für Ihr Betriebssystem (z. B. npm, cargo, mix), um auf Version 1.15.4-scratch zu aktualisieren.
Überprüfen Sie die Systemprotokolle auf ungewöhnliche Aktivitäten und erwägen Sie, eine umfassende Sicherheitsanalyse durchzuführen.
Überprüfen Sie die in Ihren Gleam-Projekten verwendeten Abhängigkeiten und stellen Sie sicher, dass keine bösartigen Abhängigkeitsnamen verwendet werden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.