CVE-2026-43965

Nome do Software Vulnerável e Versões Afetadas Gleam versões 0.18.0-rc1 até 1.17.0

Description Uma falha de path traversal no sistema de gerenciamento de dependências permite a exclusão recursiva de diretórios arbitrários. Isso ocorre porque as chaves de pacotes lidas do arquivo build/packages/packages.toml pela função LocalPackages::read from disc são passadas sem validação para paths.build packages package(). Esse processo constrói um caminho de sistema de arquivos juntando o diretório de build do projeto com uma chave controlada por um invasor, que é então passada para fs::delete directory (que chama remove dir all). Como o sistema não verifica se o caminho permanece dentro do diretório build/packages/ pretendido, tanto caminhos absolutos quanto sequências de travessia relativa (como ../) podem ser usados para alvejar e excluir qualquer diretório no sistema da vítima quando o comando gleam deps download é executado em um projeto que contenha um arquivo de configuração malicioso.

Recommendations Atualize o Gleam para uma versão posterior à 1.17.0.