CVE-2026-32146

Параметр	Значение
CVSS	6,2 (MEDIUM)
Тип уязвимости	CWE-22 (Обход пути)
Публичный эксплойт	Нет

Уязвимость неправильной проверки пути в обработке компилятором Gleam зависимостей git позволяет произвольно вносить изменения в файловую систему во время загрузки зависимостей. Имена зависимостей из gleam.toml и Manifest.toml включаются в пути файловой системы без достаточной проверки или ограничения предполагаемым каталогом зависимостей, что позволяет контролируемым злоумышленником путям (посредством относительного обхода, например ../ или абсолютных путей) нацеливаться на местоположения файловой системы за пределами этого каталога. При разрешении зависимостей git (например, посредством загрузки gleam deps) вычисленный путь используется для операций файловой системы, включая удаление и создание каталога.

Эта уязвимость возникает на этапе разрешения зависимостей и загрузки, который, как правило, ограничивается получением и подготовкой зависимостей в ограниченном каталоге. Вредоносная прямая или транзитивная зависимость git может использовать эту проблему для удаления и перезаписи произвольных каталогов за пределами предполагаемого каталога зависимостей, включая выбранные злоумышленником абсолютные пути, что может привести к потере данных. В некоторых средах это можно дополнительно использовать для выполнения кода, например, путем перезаписи перехватчиков git или файлов конфигурации оболочки.

Эта проблема затрагивает Gleam с версий 1.9.0-rc1 до 1.15.3 и 1.16.0-rc1.

Показать оригинальное описание (EN)

Improper path validation vulnerability in the Gleam compiler's handling of git dependencies allows arbitrary file system modification during dependency download. Dependency names from gleam.toml and manifest.toml are incorporated into filesystem paths without sufficient validation or confinement to the intended dependency directory, allowing attacker-controlled paths (via relative traversal such as ../ or absolute paths) to target filesystem locations outside that directory. When resolving git dependencies (e.g. via gleam deps download), the computed path is used for filesystem operations including directory deletion and creation. This vulnerability occurs during the dependency resolution and download phase, which is generally expected to be limited to fetching and preparing dependencies within a confined directory. A malicious direct or transitive git dependency can exploit this issue to delete and overwrite arbitrary directories outside the intended dependency directory, including attacker-chosen absolute paths, potentially causing data loss. In some environments, this may be further leveraged to achieve code execution, for example by overwriting git hooks or shell configuration files. This issue affects Gleam from 1.9.0-rc1 until 1.15.3 and 1.16.0-rc1.