平台
nodejs
组件
gleam-lang/gleam
修复版本
*
*
*
v1.15.4-elixir
v1.15.4-erlang
v1.15.4-node
v1.15.4-node-slim
v1.15.4-elixir-slim
v1.15.4-erlang-slim
v1.15.4-erlang-alpine
v1.15.4-elixir-alpine
v1.15.4-node-alpine
v1.15.4-scratch
CVE-2026-32146 represents an arbitrary file access vulnerability discovered in the Gleam Compiler. This flaw arises from insufficient validation of paths used when resolving git dependencies, enabling attackers to potentially modify files outside the intended dependency directory. Versions affected include 1.9.0-rc1 through v1.15.4-scratch; however, a fix has been released in v1.15.4-scratch.
CVE-2026-32146 在 Gleam 编译器中存在文件系统修改漏洞。这源于处理 Git 依赖项时路径验证不当。编译器在从 gleam.toml 和 manifest.toml 解析依赖项时,在没有充分验证的情况下,将依赖项名称合并到文件系统路径中。攻击者可以通过构造包含相对路径遍历序列(例如 ../)或绝对路径的依赖项名称来利用此漏洞,从而将文件系统位置定位在预期依赖项目录之外。此漏洞的严重性在于攻击者可能能够将文件写入意外位置,从而可能损害系统完整性或启用恶意代码执行。虽然尚未报告任何主动利用,但漏洞的性质使其构成重大风险。
该漏洞在 Gleam 编译器中的 Git 依赖项解析阶段表现出来。攻击者可以通过影响依赖项名称(直接或通过传递依赖项)来包含恶意路径遍历序列。例如,依赖项名称 ../../../../etc/passwd 可能会允许攻击者写入 /etc/passwd 文件,从而可能损害系统安全。利用需要攻击者能够控制或影响 Gleam 项目中使用的依赖项名称。缺乏强大的路径验证允许这些恶意名称用于构造任意文件路径。
漏洞利用状态
EPSS
0.02% (5% 百分位)
CISA SSVC
此漏洞的解决方案是升级到 Gleam 编译器版本 1.15.4-scratch。此版本包含改进的路径验证,可以防止攻击者在下载依赖项期间操纵文件路径。强烈建议立即升级以降低风险。此外,请审查 Gleam 项目中使用的依赖项,以确保未使用任何可能被利用的恶意依赖项名称。监控与依赖项下载过程相关的系统日志中的异常活动也可以帮助检测潜在的利用尝试。升级是最重要的预防措施。
Actualice a la versión 1.15.5 o superior para mitigar la vulnerabilidad. Esta actualización corrige la validación incorrecta de la ruta, evitando la modificación arbitraria del sistema de archivos durante la descarga de dependencias de Git.
漏洞分析和关键警报直接发送到您的邮箱。
Gleam 是一种函数式编程语言,编译为 Erlang,旨在构建可扩展且容错的应用。
升级到版本 1.15.4-scratch 会修复一个安全漏洞,该漏洞可能允许任意文件系统修改。
使用适合您操作系统的适当包管理器(例如 npm、cargo、mix)升级到版本 1.15.4-scratch。
检查系统日志中是否有异常活动,并考虑进行全面的安全分析。
检查 Gleam 项目中使用的依赖项,并确保未使用任何恶意依赖项名称。