Plateforme
nodejs
Composant
gleam-lang/gleam
Corrigé dans
*
*
*
v1.15.4-elixir
v1.15.4-erlang
v1.15.4-node
v1.15.4-node-slim
v1.15.4-elixir-slim
v1.15.4-erlang-slim
v1.15.4-erlang-alpine
v1.15.4-elixir-alpine
v1.15.4-node-alpine
v1.15.4-scratch
Une vulnérabilité d'accès arbitraire aux fichiers a été découverte dans le compilateur Gleam, affectant les versions 1.9.0-rc1 et ultérieures. Cette faille est due à une validation insuffisante des chemins lors de la résolution des dépendances Git, permettant à un attaquant de manipuler les chemins d'accès au système de fichiers. Il n'y a pas de correctif disponible pour le moment.
La vulnérabilité CVE-2026-32146 dans le compilateur Gleam permet une modification arbitraire du système de fichiers. Cela est dû à une validation incorrecte des chemins lors du traitement des dépendances Git. Le compilateur, lors de la résolution des dépendances spécifiées dans les fichiers gleam.toml et manifest.toml, incorpore les noms des dépendances dans les chemins du système de fichiers sans validation suffisante. Un attaquant pourrait exploiter cela en utilisant des séquences de traversée de répertoires relatives (comme ../) ou des chemins absolus pour cibler des emplacements du système de fichiers en dehors du répertoire de dépendances prévu. La gravité de cette vulnérabilité réside dans la possibilité pour un attaquant d'écrire des fichiers dans des emplacements inattendus, compromettant potentiellement l'intégrité du système ou permettant l'exécution de code malveillant si elle est exploitée avec succès. Bien qu'aucune exploitation active n'ait été signalée, la nature de la vulnérabilité en fait un risque important.
La vulnérabilité se manifeste pendant la phase de résolution des dépendances Git dans le compilateur Gleam. Un attaquant pourrait influencer le nom d'une dépendance (directement ou par le biais d'une dépendance transitive) pour inclure des séquences de traversée de répertoires malveillantes. Par exemple, un nom de dépendance tel que ../../../../etc/passwd pourrait permettre à l'attaquant d'écrire dans le fichier /etc/passwd, compromettant potentiellement la sécurité du système. L'exploitation nécessite que l'attaquant ait la capacité de contrôler ou d'influencer les noms de dépendances utilisés dans le projet Gleam. L'absence d'une validation robuste des chemins permet à ces noms malveillants d'être utilisés pour construire des chemins de fichiers arbitraires.
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
La solution à cette vulnérabilité consiste à mettre à niveau vers la version 1.15.4-scratch du compilateur Gleam. Cette version inclut une validation de chemin améliorée qui empêche les attaquants de manipuler les chemins de fichiers lors du téléchargement des dépendances. Il est fortement recommandé de mettre à niveau immédiatement pour atténuer le risque. De plus, examinez les dépendances utilisées dans les projets Gleam pour vous assurer qu'aucun nom de dépendance malveillant n'est utilisé qui pourrait être exploité. Surveiller les journaux du système à la recherche d'activités inhabituelles liées au processus de téléchargement des dépendances peut également aider à détecter les tentatives d'exploitation potentielles. La mise à niveau est la mesure préventive la plus importante.
Actualice a la versión 1.15.5 o superior para mitigar la vulnerabilidad. Esta actualización corrige la validación incorrecta de la ruta, evitando la modificación arbitraria del sistema de archivos durante la descarga de dependencias de Git.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Gleam est un langage de programmation fonctionnel qui se compile en Erlang, conçu pour créer des applications évolutives et tolérantes aux pannes.
La mise à jour vers la version 1.15.4-scratch corrige une vulnérabilité de sécurité qui pourrait permettre une modification arbitraire du système de fichiers.
Utilisez le gestionnaire de paquets approprié pour votre système d'exploitation (par exemple, npm, cargo, mix) pour mettre à jour vers la version 1.15.4-scratch.
Examinez les journaux du système à la recherche d'activités inhabituelles et envisagez de réaliser une analyse de sécurité complète.
Examinez les dépendances utilisées dans vos projets Gleam et assurez-vous qu'aucun nom de dépendance malveillant n'est utilisé.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.