Vulnerabilidad en conda-forge-webservices (CVE-2025-32784)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
15/04/2025
Última modificación:
16/04/2025
Descripción
conda-forge-webservices es la aplicación web implementada para ejecutar los comandos de administración y el linting de conda-forge. En versiones anteriores a la 2025.4.10, se identificó una vulnerabilidad de condición de ejecución en el componente conda-forge-webservices, utilizado en la infraestructura de compilación compartida. Esta vulnerabilidad, categorizada como un problema de tiempo de verificación a tiempo de uso (TOCTOU), puede explotarse para introducir modificaciones no autorizadas en los artefactos de compilación almacenados en el canal de Anaconda cf-staging. Su explotación puede resultar en la publicación no autorizada de artefactos maliciosos en el canal de producción de conda-forge. La vulnerabilidad principal se debe a la ausencia de atomicidad entre la validación del hash y la operación de copia del artefacto. Esta brecha permite a un atacante, con acceso al token de cf-staging, sobrescribir el artefacto validado con una versión maliciosa inmediatamente después de la verificación del hash, pero antes de que se ejecute la copia. Dado que el canal de cf-staging permite la sobrescritura de artefactos, dicha operación puede llevarse a cabo mediante el comando anaconda upload --force. Esta vulnerabilidad se corrigió en 2025.4.10.
Impacto
Puntuación base 4.0
7.50
Gravedad 4.0
ALTA