Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en conda-forge-ci-setup (CVE-2025-49598)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/06/2025
Última modificación:
16/06/2025

Descripción

conda-forge-ci-setup es un paquete que conda-forge instala cada vez que se ejecuta una compilación en CI. El script de configuración conda-forge-ci-setup-feedstock es vulnerable debido al uso inseguro de la función eval al analizar la información de versión de un archivo meta.yaml con formato personalizado. Un atacante que controle meta.yaml puede inyectar código malicioso en la asignación de versión, que se ejecuta durante el procesamiento del archivo, lo que provoca la ejecución de código arbitrario. Para explotarlo, el atacante debe modificar el archivo de receta manipulando la variable RECIPE_DIR e introduciendo un archivo meta.yaml malicioso. Si bien esto es más factible en pipelines de CI/CD, es poco común en entornos típicos, lo que reduce el riesgo general. Esta vulnerabilidad se corrigió en la versión 4.15.0.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 4.40 MEDIA
Vector: CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0
4.40
Gravedad 4.0
MEDIA

Referencias a soluciones, herramientas e información