CVE-2025-32784 in conda-forge-webservices
الملخص
بحسب VulDB • 11/05/2026
تُعد conda-forge-webservices التطبيق الويبي المُنتشر لتشغيل أوامر إدارة conda-forge والتدقيق اللغوي (linting). في الإصدارات السابقة لـ 2025.4.10، تم تحديد ثغرة شرط سباق (race condition) في مكون conda-forge-webservices المستخدم ضمن بنية البناء المشتركة. يمكن استغلال هذه الثغرة، المصنفة كمشكلة من نوع "وقت الفحص إلى وقت الاستخدام" (TOCTOU)، لإدخال تعديلات غير مصرح بها على منتجات البناء المخزنة في قناة Anaconda الفرعية cf-staging. قد يؤدي الاستغلال إلى نشر منتجات ضارة بشكل غير مصرح به في قناة conda-forge الإنتاجية. تنجم الثغرة الأساسية عن غياب الذرية (atomicity) بين عملية التحقق من التجزئة (hash validation) وعملية نسخ المنتج. يتيح هذا الثغرة لمهاجم، لديه وصول إلى رمز cf-staging، استبدال المنتج الذي تم التحقق منه بنسخة ضارة فوراً بعد التحقق من التجزئة، ولكن قبل تنفيذ عملية النسخ. ونظراً لأن قناة cf-staging تسمح باستبدال المنتجات، يمكن تنفيذ هذه العملية باستخدام أمر anaconda upload --force. تم إصلاح هذه الثغرة في الإصدار 2025.4.10.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.