प्लेटफ़ॉर्म
nodejs
घटक
gleam-lang/gleam
में ठीक किया गया
*
*
*
v1.15.4-elixir
v1.15.4-erlang
v1.15.4-node
v1.15.4-node-slim
v1.15.4-elixir-slim
v1.15.4-erlang-slim
v1.15.4-erlang-alpine
v1.15.4-elixir-alpine
v1.15.4-node-alpine
v1.15.4-scratch
CVE-2026-32146 represents an arbitrary file access vulnerability discovered in the Gleam Compiler. This flaw arises from insufficient validation of paths used when resolving git dependencies, enabling attackers to potentially modify files outside the intended dependency directory. Versions affected include 1.9.0-rc1 through v1.15.4-scratch; however, a fix has been released in v1.15.4-scratch.
CVE-2026-32146 Gleam कंपाइलर में एक फ़ाइल सिस्टम संशोधन भेद्यता प्रस्तुत करता है। यह Git निर्भरताओं को संभालने में अनुचित पथ सत्यापन के कारण होता है। Gleam कंपाइलर, gleam.toml और manifest.toml से निर्भरता समाधान के दौरान, इच्छित निर्भरता निर्देशिका के बाहर फ़ाइल सिस्टम स्थानों को लक्षित करने के लिए सापेक्ष पथ ट्रैवर्सल अनुक्रमों (जैसे ../) या पूर्ण पथों का उपयोग करके हमलावर द्वारा शोषण किया जा सकने वाला पर्याप्त सत्यापन के बिना फ़ाइल सिस्टम पथों में निर्भरता नामों को शामिल करता है। गंभीरता इस संभावना में निहित है कि एक हमलावर अप्रत्याशित स्थानों पर फ़ाइलों को लिख सकता है, संभावित रूप से सिस्टम अखंडता से समझौता कर सकता है या यदि सफलतापूर्वक शोषण किया जाता है तो दुर्भावनापूर्ण कोड निष्पादन को सक्षम कर सकता है। हालांकि कोई सक्रिय शोषण की सूचना नहीं दी गई है, लेकिन भेद्यता की प्रकृति इसे एक महत्वपूर्ण जोखिम बनाती है।
यह भेद्यता Gleam कंपाइलर के भीतर Git निर्भरता समाधान चरण के दौरान प्रकट होती है। एक हमलावर निर्भरता नाम (प्रत्यक्ष या ट्रांसिटिव निर्भरता के माध्यम से) को प्रभावित कर सकता है ताकि दुर्भावनापूर्ण पथ ट्रैवर्सल अनुक्रम शामिल हो सकें। उदाहरण के लिए, निर्भरता नाम ../../../../etc/passwd हमलावर को /etc/passwd फ़ाइल में लिखने की अनुमति दे सकता है, जिससे संभावित रूप से सिस्टम सुरक्षा से समझौता हो सकता है। शोषण के लिए हमलावर को Gleam परियोजना में उपयोग किए जा रहे निर्भरता नामों को नियंत्रित या प्रभावित करने में सक्षम होना आवश्यक है। मजबूत पथ सत्यापन की कमी इन दुर्भावनापूर्ण नामों का उपयोग मनमाना फ़ाइल पथ बनाने के लिए करने की अनुमति देती है।
एक्सप्लॉइट स्थिति
EPSS
0.02% (5% शतमक)
CISA SSVC
इस भेद्यता के लिए समाधान Gleam कंपाइलर को संस्करण 1.15.4-scratch में अपग्रेड करना है। इस संस्करण में बेहतर पथ सत्यापन शामिल है जो निर्भरता डाउनलोड के दौरान हमलावरों को फ़ाइल पथों में हेरफेर करने से रोकता है। जोखिम को कम करने के लिए तत्काल अपग्रेड की दृढ़ता से अनुशंसा की जाती है। इसके अतिरिक्त, Gleam परियोजनाओं में उपयोग किए जा रहे निर्भरताओं की समीक्षा करें ताकि यह सुनिश्चित किया जा सके कि कोई दुर्भावनापूर्ण निर्भरता नाम उपयोग नहीं किया जा रहा है जिसे शोषण किया जा सकता है। निर्भरता डाउनलोड प्रक्रिया से संबंधित सिस्टम लॉग में असामान्य गतिविधि की निगरानी भी संभावित शोषण प्रयासों का पता लगाने में मदद कर सकती है। अपग्रेड सबसे महत्वपूर्ण निवारक उपाय है।
Actualice a la versión 1.15.5 o superior para mitigar la vulnerabilidad. Esta actualización corrige la validación incorrecta de la ruta, evitando la modificación arbitraria del sistema de archivos durante la descarga de dependencias de Git.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Gleam एक कार्यात्मक प्रोग्रामिंग भाषा है जो Erlang में संकलित होती है और स्केलेबल और फॉल्ट-टॉलरेंट अनुप्रयोगों के निर्माण के लिए डिज़ाइन की गई है।
संस्करण 1.15.4-scratch में अपग्रेड करने से एक सुरक्षा भेद्यता ठीक हो जाती है जो फ़ाइल सिस्टम के मनमाना संशोधन की अनुमति दे सकती है।
अपने ऑपरेटिंग सिस्टम के लिए उपयुक्त पैकेज मैनेजर (जैसे npm, cargo, mix) का उपयोग करके संस्करण 1.15.4-scratch में अपग्रेड करें।
सिस्टम लॉग की जांच करें कि कोई असामान्य गतिविधि तो नहीं है और व्यापक सुरक्षा विश्लेषण पर विचार करें।
अपनी Gleam परियोजनाओं में उपयोग किए जा रहे निर्भरताओं की समीक्षा करें और सुनिश्चित करें कि कोई दुर्भावनापूर्ण निर्भरता नाम उपयोग नहीं किया जा रहा है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।