EEF-CVE-2026-42795 漏洞概述 Gleam 的 Hex 包导出功能存在漏洞,允许将文件嵌入到项目根目录之外,从而在生成的包 tarball 中嵌入敏感文件。 影响范围 受影响版本:Gleam 从 0.10.0-rc1 到 1.17.0 修复方案 避免在未受信任的项目上运行 或 审查 和 目录,检查是否有意外符号链接 在受限或隔离环境中运行发布命令(例如,使用容器) 详细信息 漏洞类型:符号链接跟随漏洞 严重程度:5.1 (Medium) 发布日期:2026-06-02T13:41:39:527Z 修改日期:2026-06-02T14:12:28.64344272Z 来源:https://cve.ariel.org/osv/EEF-CVE-2026-42795.html JSON 数据:https://api.osv.dev/v1/vulns/EEF-CVE-2026-42795 技术细节 该漏洞发生在 和 过程中,当使用 时,文件收集助手(如 , , )会遍历可发布目录(如 和 )。收集的路径会被添加到包归档中,通过 在 中完成,但未验证解析后的目标是否仍在项目根目录内。如果符号链接指向任意文件,攻击者可以嵌入本地文件(如秘密、令牌或 SSH 密钥)到发布的包中。 工作区 避免在未受信任的项目上运行 或 审查 和 目录,检查是否有意外符号链接 在受限或隔离环境中运行发布命令(例如,使用容器) 数据库特定信息 CWE IDs: - CWE-59