CVE-2026-32146

Name of the Vulnerable Software and Affected Versions Gleam versões 1.9.0-rc1 até 1.15.3 e 1.16.0-rc1

Description Um problema de validação de caminho inadequada existe no compilador Gleam ao lidar com dependências git durante o processo de download da dependência. Nomes de dependência de gleam.toml e manifest.toml são usados para construir caminhos do sistema de arquivos sem validação suficiente, permitindo que caminhos controlados por um invasor (usando travessia relativa como '../' ou caminhos absolutos) tenham como alvo locais fora do diretório de dependência pretendido. Isso pode levar à modificação arbitrária do sistema de arquivos, incluindo exclusão e criação de diretórios, ao resolver dependências git com gleam deps download. Uma dependência git maliciosa pode sobrescrever diretórios arbitrários, potencialmente causando perda de dados ou, em alguns ambientes, alcançando a execução de código sobrescrevendo arquivos como hooks git ou arquivos de configuração do shell.

Recommendations Evite usar dependências git não confiáveis, especialmente sem fixar em um commit SHA específico. Revise cuidadosamente as árvores de dependência, incluindo dependências git transitivas. Execute comandos de resolução de dependência em um ambiente restrito ou isolado (por exemplo, contêineres).