CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-43965

MediumCVSS 5.6
Published: Updated: Translated: NVD NIST

Exploitation Probability (EPSS)

Low risk
0.15%

5th percentile - higher than 5% of all known CVEs

Summary

Podatność typu path traversal w zarządzaniu zależnościami Gleam pozwala na usunięcie dowolnego katalogu poprzez złośliwą zawartość pliku build/packages/packages.toml. Klucze pakietów odczytywane z tego pliku są przekazywane bez walidacji, co umożliwia atakującemu manipulację ścieżkami systemowymi.

Risk Assessment

Organizacja narażona jest na ryzyko nieautoryzowanego usunięcia ważnych katalogów na systemach ofiar, co może prowadzić do utraty danych i zakłócenia działania aplikacji.

Recommendation

Zaleca się aktualizację Gleam do wersji 1.17.0 lub nowszej oraz wprowadzenie dodatkowych mechanizmów walidacji dla kluczy pakietów w pliku build/packages/packages.toml.

Original NVD description (English source)

Path traversal vulnerability in Gleam's dependency management allows arbitrary directory deletion via malicious build/packages/packages.toml content. Package keys read from build/packages/packages.toml by LocalPackages::read_from_disc are passed without validation to paths.build_packages_package(), which constructs a filesystem path by joining the project build directory with the attacker-controlled key. The resulting path is then passed to fs::delete_directory (which calls remove_dir_all). No check is performed to ensure the path remains within the intended build/packages/ directory. Both absolute paths and relative traversal sequences (e.g. ../) are accepted as package keys, allowing deletion of arbitrary directories. An attacker who can cause a victim to run gleam deps download on a project containing a malicious build/packages/packages.toml (e.g. by committing the normally-gitignored file to a repository) can cause arbitrary directories on the victim's system to be recursively deleted. This issue affects Gleam from 0.18.0-rc1 until 1.17.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS