Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Conda-build (CVE-2025-32798)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
16/06/2025
Última modificación:
02/07/2025

Descripción

Conda-build contiene comandos y herramientas para compilar paquetes conda. Antes de la versión 25.4.0, la lógica de procesamiento de recetas de conda-build era vulnerable a la ejecución de código arbitrario debido a la evaluación insegura de los selectores de recetas. Actualmente, conda-build utiliza la función eval para procesar selectores incrustados en archivos meta.yaml. Este enfoque evalúa expresiones definidas por el usuario sin la debida depuración, lo que permite la ejecución de código arbitrario durante el proceso de compilación. Como resultado, se compromete la integridad del entorno de compilación y se pueden realizar comandos u operaciones de archivo no autorizados. La vulnerabilidad se deriva del riesgo inherente de usar eval() en entradas no confiables en un contexto diseñado para controlar configuraciones de compilación dinámicas. Al interpretar directamente las expresiones del selector, conda-build crea una posible vía de ejecución para código malicioso, violando las suposiciones de seguridad. Este problema se ha corregido en la versión 25.4.0.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): POC

Puntuación base 4.0
8.20
Gravedad 4.0
ALTA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:anaconda:conda-build:*:*:*:*:*:*:*:* 25.4.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información