Platform
nodejs
Component
gleam-lang/gleam
Opgelost in
*
*
*
v1.15.4-elixir
v1.15.4-erlang
v1.15.4-node
v1.15.4-node-slim
v1.15.4-elixir-slim
v1.15.4-erlang-slim
v1.15.4-erlang-alpine
v1.15.4-elixir-alpine
v1.15.4-node-alpine
v1.15.4-scratch
CVE-2026-32146 represents an arbitrary file access vulnerability discovered in the Gleam Compiler. This flaw arises from insufficient validation of paths used when resolving git dependencies, enabling attackers to potentially modify files outside the intended dependency directory. Versions affected include 1.9.0-rc1 through v1.15.4-scratch; however, a fix has been released in v1.15.4-scratch.
CVE-2026-32146 in de Gleam-compiler maakt willekeurige bestandssysteemwijzigingen mogelijk. Dit komt door een onjuiste padvalidatie bij het verwerken van Git-afhankelijkheden. De compiler, tijdens het oplossen van afhankelijkheden die zijn gespecificeerd in de bestanden gleam.toml en manifest.toml, integreert de namen van de afhankelijkheden in bestandssysteempaden zonder voldoende validatie. Een aanvaller kan dit uitbuiten door afhankelijkheidsnamen te gebruiken die relatieve padtraversaalreeksen (bijv. ../) of absolute paden bevatten om bestandssysteemlocaties buiten de beoogde afhankelijkheidsdirectory te bereiken. De ernst van deze kwetsbaarheid ligt in de mogelijkheid voor een aanvaller om bestanden naar onverwachte locaties te schrijven, waardoor de systeemintegriteit mogelijk wordt aangetast of de uitvoering van kwaadaardige code wordt mogelijk gemaakt als deze succesvol wordt misbruikt. Hoewel er geen actieve exploitatie is gemeld, vormt de aard van de kwetsbaarheid een aanzienlijk risico.
De kwetsbaarheid manifesteert zich tijdens de fase van het oplossen van Git-afhankelijkheden in de Gleam-compiler. Een aanvaller kan de naam van een afhankelijkheid beïnvloeden (direct of via een transitieve afhankelijkheid) om kwaadaardige padtraversaalreeksen op te nemen. Bijvoorbeeld, een afhankelijkheidsnaam zoals ../../../../etc/passwd zou een aanvaller in staat kunnen stellen om naar het bestand /etc/passwd te schrijven en zo mogelijk de systeembeveiliging te compromitteren. Voor de exploitatie is vereist dat de aanvaller de mogelijkheid heeft om de afhankelijkheidsnamen te controleren of te beïnvloeden die in het Gleam-project worden gebruikt. Het ontbreken van een robuuste padvalidatie maakt het mogelijk dat deze kwaadaardige namen worden gebruikt om willekeurige bestandspaden te construeren.
Exploit Status
EPSS
0.02% (5% percentiel)
CISA SSVC
De oplossing voor deze kwetsbaarheid is om te upgraden naar versie 1.15.4-scratch van de Gleam-compiler. Deze versie bevat een verbeterde padvalidatie die voorkomt dat aanvallers bestandspaden manipuleren tijdens het downloaden van afhankelijkheden. Een onmiddellijke upgrade wordt ten zeerste aanbevolen om het risico te beperken. Controleer bovendien de afhankelijkheden die in Gleam-projecten worden gebruikt om ervoor te zorgen dat er geen kwaadaardige afhankelijkheidsnamen worden gebruikt die mogelijk kunnen worden misbruikt. Het monitoren van systeemlogboeken op ongebruikelijke activiteiten die verband houden met het proces van het downloaden van afhankelijkheden kan ook helpen bij het detecteren van mogelijke exploitatiepogingen. De upgrade is de belangrijkste preventieve maatregel.
Actualice a la versión 1.15.5 o superior para mitigar la vulnerabilidad. Esta actualización corrige la validación incorrecta de la ruta, evitando la modificación arbitraria del sistema de archivos durante la descarga de dependencias de Git.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Gleam is een functionele programmeertaal die compileert naar Erlang en is ontworpen voor het bouwen van schaalbare en fouttolerante applicaties.
Het updaten naar versie 1.15.4-scratch verhelpt een beveiligingslek dat willekeurige bestandssysteemwijzigingen mogelijk zou kunnen maken.
Gebruik de juiste pakketbeheerder voor uw besturingssysteem (bijv. npm, cargo, mix) om te updaten naar versie 1.15.4-scratch.
Controleer de systeemlogboeken op ongebruikelijke activiteiten en overweeg een uitgebreide beveiligingsanalyse uit te voeren.
Controleer de afhankelijkheden die in uw Gleam-projecten worden gebruikt en zorg ervoor dat er geen kwaadaardige afhankelijkheidsnamen worden gebruikt.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.