Vulnerabilidad en conda-smithy (CVE-2025-49843)

Gravedad CVSS v4.0:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

17/06/2025

Última modificación:

18/06/2025

Descripción

conda-smithy es una herramienta que combina una receta de Conda con configuraciones para compilar usando servicios de CI alojados libremente en un único repositorio. Antes de la versión 3.47.1, la función travis_headers del repositorio conda-smithy creaba archivos con permisos superiores a 0o600, lo que permitía acceso de lectura y escritura a usuarios no autorizados. Esto viola el principio de mínimo privilegio, que obliga a restringir los permisos de archivo al mínimo necesario. Un atacante podría aprovechar esto para acceder a archivos de configuración en entornos de alojamiento compartido. Este problema se ha corregido en la versión 3.47.1.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.70 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0

2.70

Gravedad 4.0

BAJA

Vulnerabilidad en conda-smithy (CVE-2025-49843)

Descripción

Impacto

Referencias a soluciones, herramientas e información