Gleam Path Traversal Vulnerability Advisory (CVE-2026-32685)

漏洞概述 CVE编号: CVE-2026-32685 漏洞类型: 路径遍历（Path Traversal） CVSS 4.0 评分: 4.6（中等） 描述: 在Gleam的 命令中，通过 配置项，攻击者可以读取和写入项目目录外的任意文件。具体来说， 字段可用于生成文档输出目录外的文件， 字段可用于读取项目目录外的文件并将其内容嵌入到生成的文档中。 影响范围 受影响版本: Gleam 1.16.0 至 1.17.0 受影响模块: - - 受影响源文件: - - - - 受影响类型: - - - （包括elixir、erlang、node、elixir-slim、erlang-slim、elixir-alpine、erlang-alpine、node-alpine、elixir-scratch等） 修复方案 修复版本: < 1.17.0 工作区: - 避免在未受信任的项目上运行 命令。 - 在生成文档之前，审查 中的 条目。 - 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器）。 参考链接 GitHub Advisory OSV Vulnerability GitHub Commits 贡献者 Finder: evipepota Remediation developer: evipepota Remediation reviewer: Louis Piffard Analyst: Jonatan Männchen / EEF 配置 项目必须使用 中的 配置自定义文档页面，并且受害者必须运行 命令在未受信任的项目上或带有未受信任的 内容。不使用自定义文档页面的项目不受影响。 工作区 避免在未受信任的项目上运行 命令。 在生成文档之前，审查 中的 条目。 在受限或隔离的环境中运行文档生成（例如，容器

目標達成すべての支援者に感謝 — 100%達成しました！

Gleam Path Traversal Vulnerability Advisory (CVE-2026-32685)

このソースからの他の記事

目標達成 すべての支援者に感謝 — 100%達成しました！

Gleam Path Traversal Vulnerability Advisory (CVE-2026-32685)

このソースからの他の記事

目標達成すべての支援者に感謝 — 100%達成しました！