CVE-2025-32784 in conda-forge-webservices
Сводка
по VulDB • 06.06.2026
conda-forge-webservices — это веб-приложение, развернутое для выполнения административных команд conda-forge и проверки кода (linting). В версиях старше 2025.4.10 в компоненте conda-forge-webservices, используемом в общей инфраструктуре сборки, выявлена уязвимость типа race condition. Данная уязвимость, классифицируемая как проблема Time-of-Check to Time-of-Use (TOCTOU), может быть использована для внесения несанкционированных изменений в артефакты сборки, хранящиеся в канале Anaconda cf-staging. Эксплуатация уязвимости может привести к несанкционированной публикации вредоносных артефактов в производственный канал conda-forge. Основная уязвимость обусловлена отсутствием атомарности между проверкой хеша и операцией копирования артефакта. Эта брешь позволяет злоумышленнику, имеющему доступ к токену cf-staging, перезаписать проверенный артефакт вредоносной версией сразу после проверки хеша, но до выполнения операции копирования. Поскольку канал cf-staging допускает перезапись артефактов, такая операция может быть выполнена с помощью команды anaconda upload --force. Уязвимость исправлена в версии 2025.4.10.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.