CVE-2025-32784 in conda-forge-webservicesinformación

Resumen

por VulDB • 2026-06-06

conda-forge-webservices es la aplicación web desplegada para ejecutar comandos de administración y linting de conda-forge. En las versiones anteriores a 2025.4.10, se ha identificado una vulnerabilidad de race condition en el componente conda-forge-webservices utilizado dentro de la infraestructura de compilación compartida. Esta vulnerabilidad, clasificada como un problema de Time-of-Check to Time-of-Use (TOCTOU), puede ser explotada para introducir modificaciones no autorizadas en los artefactos de compilación almacenados en el canal de Anaconda cf-staging. La explotación puede resultar en la publicación no autorizada de artefactos maliciosos en el canal de producción conda-forge. La vulnerabilidad principal se debe a la ausencia de atomicidad entre la validación del hash y la operación de copia del artefacto. Esta brecha permite a un atacante, con acceso al token de cf-staging, sobrescribir el artefacto validado con una versión maliciosa inmediatamente después de la verificación del hash, pero antes de que se ejecute la acción de copia. Dado que el canal cf-staging permite sobrescribir artefactos, esta operación puede realizarse utilizando el comando anaconda upload --force. Esta vulnerabilidad está corregida en la versión 2025.4.10.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2025-04-10

Divulgación

2025-04-16

Moderación

aceptado

Artículo

VDB-304951

CPE

listo

EPSS

0.00231

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!