Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en (conda) Constructor (CVE-2025-49823)

Gravedad:
Pendiente de análisis
Tipo:
CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
17/06/2025
Última modificación:
17/06/2025

Descripción

(conda) Constructor es una herramienta que permite construir un instalador para una colección de paquetes conda. Antes de la versión 3.11.3, los scripts de instalación de shell procesaban el prefijo de instalación (user_prefix) mediante una sentencia eval, que ejecutaba la entrada de usuario no autorizada como código de shell. Aunque el script se ejecuta con privilegios de usuario (no root), un atacante podría aprovechar esto inyectando comandos arbitrarios a través de una ruta maliciosa durante la instalación. La explotación requiere una acción explícita del usuario. Este problema se ha corregido en la versión 3.11.3.

Impacto

Vector 3.x
CVSS:3.1/AV:P/AC:H/PR:H/UI:R/S:C/C:N/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 0.00 Pendiente de análisis
Vector: CVSS:3.1/AV:P/AC:H/PR:H/UI:R/S:C/C:N/I:N/A:N

Vector de acceso (AV): Físico
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
0.00
Gravedad 3.x
Pendiente de análisis

Referencias a soluciones, herramientas e información