Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Constructor de Conda (CVE-2025-64343)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/11/2025
Última modificación:
12/11/2025

Descripción

Constructor es una herramienta que permite a los usuarios crear instaladores para colecciones de paquetes conda. En las versiones 3.12.2 e inferiores, el directorio de instalación hereda los permisos de su directorio padre. Fuera de los directorios restringidos, los permisos son muy permisivos y a menudo permiten el acceso de escritura por parte de usuarios autenticados. Cualquier usuario con sesión iniciada puede realizar modificaciones durante la instalación, tanto para instalaciones de un solo usuario como para instalaciones de todos los usuarios. Esto constituye un vector de ataque local si la instalación se encuentra en un directorio al que los usuarios locales tienen acceso. Para instalaciones de un solo usuario en un directorio compartido, estos permisos persisten después de la instalación. Este problema se corrige en la versión 3.13.0.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.80
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información