MEDIUMCVE-2026-32146

Git 依存関係のパス検証不備により、任意のファイルシステム変更が可能

Q: Gleam Compiler の CVE-2026-32146 を修正するにはどうすればよいですか？

オペレーティングシステムに適したパッケージマネージャー (例: `npm`, `cargo`, `mix`) を使用して、バージョン 1.15.4-scratch にアップデートします。

プラットフォーム

nodejs

コンポーネント

gleam-lang/gleam

修正版

*

v1.15.4-elixir

v1.15.4-erlang

v1.15.4-node

v1.15.4-node-slim

v1.15.4-elixir-slim

v1.15.4-erlang-slim

v1.15.4-erlang-alpine

v1.15.4-elixir-alpine

v1.15.4-node-alpine

v1.15.4-scratch

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

Gleam Compiler の依存関係解決処理において、gleam.toml および manifest.toml ファイルに記述された依存関係名が、十分な検証なしにファイルシステムパスに組み込まれることで、任意のファイルアクセス脆弱性が存在します。これにより、攻撃者は相対パスや絶対パスを悪用して、意図された依存関係ディレクトリ外のファイルシステム上の場所をターゲットにすることが可能です。特に git 依存関係のダウンロード時にこの脆弱性が悪用される可能性があります。バージョン 1.9.0-rc1 から v1.15.4-scratch が影響を受け、v1.15.4-scratch で修正されています。

影響と攻撃シナリオ

CVE-2026-32146 は、Gleam コンパイラにおけるファイルシステム改ざんの脆弱性です。これは、Git 依存関係を処理する際のパス検証の不備が原因です。コンパイラは、gleam.toml および manifest.toml ファイルで指定された依存関係を解決する際、依存関係名を適切な検証なしにファイルシステムパスに組み込みます。攻撃者は、相対パストラバーサルシーケンス (例: ../) または絶対パスを使用して、意図された依存関係ディレクトリ外のファイルシステムロケーションをターゲットにすることができます。この脆弱性の重大度は、攻撃者が予期しない場所にファイルを書き込む可能性にあります。これにより、システム整合性が損なわれたり、悪意のあるコードの実行が可能になったりする可能性があります。現在、アクティブな悪用事例は報告されていませんが、脆弱性の性質上、重大なリスクとなります。

悪用の状況

この脆弱性は、Gleam コンパイラ内の Git 依存関係解決フェーズ中に発生します。攻撃者は、依存関係の名前 (直接的または推移的依存関係を介して) を操作して、悪意のあるパストラバーサルシーケンスを含めることができます。たとえば、依存関係名 ../../../../etc/passwd が、攻撃者が /etc/passwd ファイルに書き込み、システムセキュリティを損なうことを可能にする可能性があります。悪用には、Gleam プロジェクトで使用されている依存関係名を制御または影響を与える攻撃者の能力が必要です。堅牢なパス検証の欠如により、これらの悪意のある名前が、任意のファイルパスを構築するために使用される可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.02% (5% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントgleam-lang/gleam

ベンダーGleam

影響範囲修正版

1.9.0-rc1 – **

a4fde22445ab8e5cc79c2ff48971616cb570702c – **

v1.9.0-rc1-elixir – v1.15.4-elixirv1.15.4-elixir

v1.9.0-rc1-erlang – v1.15.4-erlangv1.15.4-erlang

v1.9.0-rc1-node – v1.15.4-nodev1.15.4-node

v1.9.0-rc1-node-slim – v1.15.4-node-slimv1.15.4-node-slim

v1.9.0-rc1-elixir-slim – v1.15.4-elixir-slimv1.15.4-elixir-slim

v1.9.0-rc1-erlang-slim – v1.15.4-erlang-slimv1.15.4-erlang-slim

v1.9.0-rc1-erlang-alpine – v1.15.4-erlang-alpinev1.15.4-erlang-alpine

v1.9.0-rc1-elixir-alpine – v1.15.4-elixir-alpinev1.15.4-elixir-alpine

v1.9.0-rc1-node-alpine – v1.15.4-node-alpinev1.15.4-node-alpine

v1.9.0-rc1-scratch – v1.15.4-scratchv1.15.4-scratch

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-03-10
公開日2026-04-11
更新日2026-05-04
EPSS 更新日2026-04-19

緩和策と回避策

この脆弱性に対する解決策は、Gleam コンパイラをバージョン 1.15.4-scratch にアップグレードすることです。このバージョンには、依存関係のダウンロード中に攻撃者がファイルパスを操作できないようにする、改善されたパス検証が含まれています。リスクを軽減するために、直ちにアップグレードすることを強くお勧めします。さらに、Gleam プロジェクトで使用されている依存関係を調べて、悪用される可能性のある悪意のある依存関係名が使用されていないことを確認してください。依存関係ダウンロードプロセスに関連するシステムログの異常なアクティビティを監視することも、潜在的な悪用試行を検出するのに役立ちます。アップグレードが最も重要な予防措置です。

修正方法翻訳中…

Actualice a la versión 1.15.5 o superior para mitigar la vulnerabilidad. Esta actualización corrige la validación incorrecta de la ruta, evitando la modificación arbitraria del sistema de archivos durante la descarga de dependencias de Git.