CVE-2025-32784 in conda-forge-webservices
Sumário
de VulDB • 11/05/2026
O conda-forge-webservices é o aplicativo web implantado para executar comandos de administração e linting do conda-forge. Nas versões anteriores à 2025.4.10, foi identificada uma vulnerabilidade de race condition no componente conda-forge-webservices utilizado dentro da infraestrutura de build compartilhada. Esta vulnerabilidade, classificada como um problema de Time-of-Check to Time-of-Use (TOCTOU), pode ser explorada para introduzir modificações não autorizadas em artefatos de build armazenados no canal Anaconda cf-staging. A exploração pode resultar na publicação não autorizada de artefatos maliciosos no canal de produção conda-forge. A vulnerabilidade central resulta da ausência de atomicidade entre a validação do hash e a operação de cópia do artefato. Esta lacuna permite que um atacante, com acesso ao token cf-staging, sobrescreva o artefato validado com uma versão maliciosa imediatamente após a verificação do hash, mas antes que a ação de cópia seja executada. Como o canal cf-staging permite a sobrescrita de artefatos, tal operação pode ser realizada usando o comando anaconda upload --force. Esta vulnerabilidade foi corrigida na versão 2025.4.10.
If you want to get best quality of vulnerability data, you may have to visit VulDB.