CVE-2025-32784 in conda-forge-webservicesالمعلومات

الملخص

بحسب VulDB • 11/05/2026

تُعد conda-forge-webservices التطبيق الويبي المُنتشر لتشغيل أوامر إدارة conda-forge والتدقيق اللغوي (linting). في الإصدارات السابقة لـ 2025.4.10، تم تحديد ثغرة شرط سباق (race condition) في مكون conda-forge-webservices المستخدم ضمن بنية البناء المشتركة. يمكن استغلال هذه الثغرة، المصنفة كمشكلة من نوع "وقت الفحص إلى وقت الاستخدام" (TOCTOU)، لإدخال تعديلات غير مصرح بها على منتجات البناء المخزنة في قناة Anaconda الفرعية cf-staging. قد يؤدي الاستغلال إلى نشر منتجات ضارة بشكل غير مصرح به في قناة conda-forge الإنتاجية. تنجم الثغرة الأساسية عن غياب الذرية (atomicity) بين عملية التحقق من التجزئة (hash validation) وعملية نسخ المنتج. يتيح هذا الثغرة لمهاجم، لديه وصول إلى رمز cf-staging، استبدال المنتج الذي تم التحقق منه بنسخة ضارة فوراً بعد التحقق من التجزئة، ولكن قبل تنفيذ عملية النسخ. ونظراً لأن قناة cf-staging تسمح باستبدال المنتجات، يمكن تنفيذ هذه العملية باستخدام أمر anaconda upload --force. تم إصلاح هذه الثغرة في الإصدار 2025.4.10.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

10/04/2025

إفشاء

16/04/2025

الاعتدال

تمت الموافقة

إدخال

VDB-304951

EPSS

0.00231

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!