Plataforma
nodejs
Componente
gleam-lang/gleam
Corrigido em
*
*
*
v1.15.4-elixir
v1.15.4-erlang
v1.15.4-node
v1.15.4-node-slim
v1.15.4-elixir-slim
v1.15.4-erlang-slim
v1.15.4-erlang-alpine
v1.15.4-elixir-alpine
v1.15.4-node-alpine
v1.15.4-scratch
Uma vulnerabilidade de acesso arbitrário a arquivos foi descoberta no Gleam Compiler, afetando versões 1.9.0-rc1 e posteriores. Essa falha ocorre devido à validação inadequada dos caminhos de arquivos ao resolver dependências Git, permitindo que um atacante manipule os caminhos para acessar e modificar arquivos fora do diretório de dependências pretendido. A equipe do Gleam está trabalhando em uma correção.
A vulnerabilidade CVE-2026-32146 no compilador Gleam permite a modificação arbitrária do sistema de arquivos. Isso ocorre devido a uma validação inadequada de caminhos ao lidar com dependências do Git. O compilador, ao resolver dependências especificadas nos arquivos gleam.toml e manifest.toml, incorpora os nomes das dependências nos caminhos do sistema de arquivos sem uma validação adequada. Um atacante pode aproveitar isso usando sequências de travessia de diretórios relativas (como ../) ou caminhos absolutos para direcionar locais no sistema de arquivos fora do diretório de dependências pretendido. A gravidade desta vulnerabilidade reside na possibilidade de um atacante escrever arquivos em locais inesperados, comprometendo potencialmente a integridade do sistema ou permitindo a execução de código malicioso se explorado com sucesso. Embora nenhuma exploração ativa tenha sido relatada, a natureza da vulnerabilidade a torna um risco significativo.
A vulnerabilidade se manifesta durante a fase de resolução de dependências do Git no compilador Gleam. Um atacante pode influenciar o nome de uma dependência (seja diretamente ou por meio de uma dependência transitiva) para incluir sequências de travessia de diretórios maliciosas. Por exemplo, um nome de dependência como ../../../../etc/passwd poderia permitir que o atacante escrevesse no arquivo /etc/passwd, comprometendo potencialmente a segurança do sistema. A exploração requer que o atacante tenha a capacidade de controlar ou influenciar os nomes das dependências usadas no projeto Gleam. A falta de uma validação robusta de caminhos permite que esses nomes maliciosos sejam usados para construir caminhos de arquivos arbitrários.
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
A solução para esta vulnerabilidade é atualizar para a versão 1.15.4-scratch do compilador Gleam. Esta versão inclui uma validação de caminho aprimorada que impede que os atacantes manipulem os caminhos dos arquivos durante o download de dependências. Recomenda-se fortemente atualizar imediatamente para mitigar o risco. Além disso, é aconselhável revisar as dependências usadas nos projetos Gleam para garantir que nomes de dependências maliciosos não estejam sendo usados que poderiam ser explorados. Monitorar os logs do sistema em busca de atividades incomuns relacionadas ao processo de download de dependências também pode ajudar a detectar possíveis tentativas de exploração. A atualização é a medida preventiva mais importante.
Actualice a la versión 1.15.5 o superior para mitigar la vulnerabilidad. Esta actualización corrige la validación incorrecta de la ruta, evitando la modificación arbitraria del sistema de archivos durante la descarga de dependencias de Git.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Gleam é uma linguagem de programação funcional que compila para Erlang, projetada para construir aplicativos escaláveis e tolerantes a falhas.
A atualização para a versão 1.15.4-scratch corrige uma vulnerabilidade de segurança que pode permitir a modificação arbitrária do sistema de arquivos.
Use o gerenciador de pacotes apropriado para seu sistema operacional (por exemplo, npm, cargo, mix) para atualizar para a versão 1.15.4-scratch.
Revise os logs do sistema em busca de atividades incomuns e considere realizar uma análise de segurança abrangente.
Revise as dependências usadas em seus projetos Gleam e certifique-se de que nomes de dependências maliciosos não estejam sendo usados.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.