CVE-2025-32784 in conda-forge-webservices情報

要約

〜によって VulDB • 2026年06月06日

conda-forge-webservicesは、conda-forgeの管理コマンドおよびリンティングを実行するためにデプロイされたWebアプリケーションです。バージョン2025.4.10より前では、共有ビルドインフラストラクチャ内で使用されるconda-forge-webservicesコンポーネントに、race condition脆弱性が特定されています。この脆弱性は、Time-of-Check to Time-of-Use (TOCTOU) 問題として分類され、cf-staging Anacondaチャンネルに保存されたビルド成果物への不正な変更を導入するために悪用できます。悪用により、悪意のある成果物がproduction conda-forgeチャンネルに不正に公開される可能性があります。この根本的な脆弱性は、ハッシュ検証と成果物のコピー操作の間に原子性が欠如していることに起因します。この隙間により、cf-stagingトークンへのアクセス権を持つ攻撃者は、ハッシュ検証直後かつコピーアクション実行前に、検証済みの成果物を悪意のあるバージョンに上書きすることができます。cf-stagingチャンネルは成果物の上書きを許可しているため、この操作は `anaconda upload --force` コマンドを使用して実行できます。この脆弱性は2025.4.10で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2025年04月10日

モデレーション

承諾済み

エントリ

VDB-304951

EPSS

0.00231

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!