CVE-2025-32784 in conda-forge-webservicesИнформация

Сводка

по VulDB • 06.06.2026

conda-forge-webservices — это веб-приложение, развернутое для выполнения административных команд conda-forge и проверки кода (linting). В версиях старше 2025.4.10 в компоненте conda-forge-webservices, используемом в общей инфраструктуре сборки, выявлена уязвимость типа race condition. Данная уязвимость, классифицируемая как проблема Time-of-Check to Time-of-Use (TOCTOU), может быть использована для внесения несанкционированных изменений в артефакты сборки, хранящиеся в канале Anaconda cf-staging. Эксплуатация уязвимости может привести к несанкционированной публикации вредоносных артефактов в производственный канал conda-forge. Основная уязвимость обусловлена отсутствием атомарности между проверкой хеша и операцией копирования артефакта. Эта брешь позволяет злоумышленнику, имеющему доступ к токену cf-staging, перезаписать проверенный артефакт вредоносной версией сразу после проверки хеша, но до выполнения операции копирования. Поскольку канал cf-staging допускает перезапись артефактов, такая операция может быть выполнена с помощью команды anaconda upload --force. Уязвимость исправлена в версии 2025.4.10.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

10.04.2025

Раскрытие

16.04.2025

Модерация

принято

Вход

VDB-304951

EPSS

0.00231

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!