CVE-2026-43965
ŚrednieCVSS 5.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 - wyżej niż 5% wszystkich znanych CVE
Streszczenie
Podatność typu path traversal w zarządzaniu zależnościami Gleam pozwala na usunięcie dowolnego katalogu poprzez złośliwą zawartość pliku build/packages/packages.toml. Klucze pakietów odczytywane z tego pliku są przekazywane bez walidacji, co umożliwia atakującemu manipulację ścieżkami systemowymi.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego usunięcia ważnych katalogów na systemach ofiar, co może prowadzić do utraty danych i zakłócenia działania aplikacji.
Rekomendacja
Zaleca się aktualizację Gleam do wersji 1.17.0 lub nowszej oraz wprowadzenie dodatkowych mechanizmów walidacji dla kluczy pakietów w pliku build/packages/packages.toml.
Oryginalny opis (angielski, źródło NVD)
Path traversal vulnerability in Gleam's dependency management allows arbitrary directory deletion via malicious build/packages/packages.toml content. Package keys read from build/packages/packages.toml by LocalPackages::read_from_disc are passed without validation to paths.build_packages_package(), which constructs a filesystem path by joining the project build directory with the attacker-controlled key. The resulting path is then passed to fs::delete_directory (which calls remove_dir_all). No check is performed to ensure the path remains within the intended build/packages/ directory. Both absolute paths and relative traversal sequences (e.g. ../) are accepted as package keys, allowing deletion of arbitrary directories. An attacker who can cause a victim to run gleam deps download on a project containing a malicious build/packages/packages.toml (e.g. by committing the normally-gitignored file to a repository) can cause arbitrary directories on the victim's system to be recursively deleted. This issue affects Gleam from 0.18.0-rc1 until 1.17.0.

