CVE-2026-32685

Nome do Software Vulnerável e Versões Afetadas Gleam versões 1.16.0 a 1.17.0

Description Um problema de path traversal existe no processamento de páginas de documentação personalizadas. As entradas documentation.pages no arquivo gleam.toml são incorporadas a caminhos do sistema de arquivos sem validação suficiente. Especificamente, o campo documentation.pages[].path permite a gravação de arquivos de documentação gerados fora do diretório pretendido build/dev/docs/<package>/, e o campo documentation.pages[].source permite a leitura de arquivos fora do diretório do projeto para incorporá-los na saída. Um invasor pode explorar isso convencendo uma vítima a executar gleam docs build em um projeto não confiável ou com conteúdo malicioso no gleam.toml, resultando em operações de leitura e gravação arbitrária de arquivos.

Recommendations Atualize para uma versão posterior a 1.17.0. Evite executar gleam docs build em projetos não confiáveis. Revise as entradas documentation.pages no gleam.toml antes de gerar a documentação. Execute a geração de documentação em um ambiente restrito ou isolado, como containers.