Katalog CVE

CVE-2026-42795

ŚrednieCVSS 5.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 - wyżej niż 3% wszystkich znanych CVE

Streszczenie

Podatność związana z podążaniem za symlinkami w eksporcie pakietu Hex w Gleam umożliwia osadzenie plików spoza katalogu projektu w wygenerowanym archiwum tarball. Funkcje zbierające pliki nie weryfikują, czy docelowa ścieżka pozostaje w obrębie katalogu projektu, co pozwala na osadzenie zawartości symlinków.

Ocena ryzyka

Atakujący z dostępem do repozytorium projektu może umieścić symlink w katalogu src/ lub priv/, co prowadzi do osadzenia lokalnych plików, takich jak sekrety czy klucze SSH, w publikowanym artefakcie pakietu. To stwarza poważne ryzyko wycieku wrażliwych danych.

Rekomendacja

Zaleca się ograniczenie dostępu do repozytoriów oraz wprowadzenie weryfikacji ścieżek przed dodaniem ich do archiwum tarball. Należy również zaktualizować Gleam do wersji 1.17.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Symlink following vulnerability in Gleam's Hex package export allows files outside the project root to be embedded in the generated package tarball. The file collection helpers (gleam_files, native_files, private_files) in compiler-cli/src/fs.rs use follow_links(true) when walking publishable directories such as src/ and priv/. The collected paths are added to the package archive via add_path_to_tar in compiler-cli/src/publish.rs without verifying that the resolved target remains within the project root. A symlink placed under a publishable directory will cause gleam export hex-tarball or gleam publish to embed the contents of the symlink target into the generated Hex package. An attacker with write access to the project repository can place a symlink in src/ or priv/ pointing to an arbitrary file. When a maintainer or CI pipeline runs gleam publish or gleam export hex-tarball, local files readable by the publisher (such as secrets, tokens, or SSH keys) are silently embedded into the published package artifact. This issue affects Gleam from 0.10.0-rc1 until 1.17.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS