CVE-2026-42795

Nome do Software Vulnerável e Versões Afetadas Gleam versões 0.10.0-rc1 até 1.17.0

Description Um problema de seguimento de links simbólicos (symlinks) na exportação de pacotes Hex permite que arquivos fora da raiz do projeto sejam incorporados no tarball do pacote gerado. Os auxiliares de coleta de arquivos gleam files, native files e private files em compiler-cli/src/fs.rs utilizam follow links(true) ao percorrer diretórios publicáveis, como src/ e priv/. Esses caminhos são adicionados ao arquivo do pacote via add path to tar em compiler-cli/src/publish.rs sem verificar se o destino resolvido permanece dentro da raiz do projeto. Um invasor com acesso de escrita ao repositório do projeto pode colocar um link simbólico em src/ ou priv/ apontando para arquivos arbitrários. Quando um mantenedor ou pipeline de CI executa os comandos "gleam publish" ou "gleam export hex-tarball", arquivos locais legíveis pelo publicador, como segredos, tokens ou chaves SSH, são silenciosamente incorporados ao artefato do pacote publicado.

Recommendations Atualize o Gleam para uma versão posterior a 1.17.0. Evite executar "gleam publish" ou "gleam export hex-tarball" em projetos não confiáveis. Revise o conteúdo de src/ e priv/ em busca de links simbólicos inesperados antes de publicar. Execute comandos de publicação em um ambiente restrito ou isolado, como containers.