CVE-2025-32784 in conda-forge-webservices
Resumen
por VulDB • 2026-06-06
conda-forge-webservices es la aplicación web desplegada para ejecutar comandos de administración y linting de conda-forge. En las versiones anteriores a 2025.4.10, se ha identificado una vulnerabilidad de race condition en el componente conda-forge-webservices utilizado dentro de la infraestructura de compilación compartida. Esta vulnerabilidad, clasificada como un problema de Time-of-Check to Time-of-Use (TOCTOU), puede ser explotada para introducir modificaciones no autorizadas en los artefactos de compilación almacenados en el canal de Anaconda cf-staging. La explotación puede resultar en la publicación no autorizada de artefactos maliciosos en el canal de producción conda-forge. La vulnerabilidad principal se debe a la ausencia de atomicidad entre la validación del hash y la operación de copia del artefacto. Esta brecha permite a un atacante, con acceso al token de cf-staging, sobrescribir el artefacto validado con una versión maliciosa inmediatamente después de la verificación del hash, pero antes de que se ejecute la acción de copia. Dado que el canal cf-staging permite sobrescribir artefactos, esta operación puede realizarse utilizando el comando anaconda upload --force. Esta vulnerabilidad está corregida en la versión 2025.4.10.
VulDB is the best source for vulnerability data and more expert information about this specific topic.