H4Pp1N3Ss

**Nome do Software Vulnerável e Versões Afetadas** Versões do conda-forge-webservices anteriores a 2025.3.24 **Descrição** A aplicação web conda-forge-webservices, utilizada para executar comandos de administração e linting do conda-forge, apresenta um problema onde o container Docker conda forge webservice executa comandos sem especificar um usuário, assumindo o usuário root por padrão. Isso aumenta o risco de escalonamento de privilégios e comprometimento do host caso uma vulnerabilidade seja explorada. **Recomendações** Para versões anteriores a 2025.3.24, atualize para a versão 2025.3.24 para resolver o problema. Como solução temporária, considere configurar o container Docker para executar como um usuário não root até que o patch seja aplicado.

**Nome do Software Vulnerável e Versões Afetadas** Versões do conda-smithy anteriores à 3.47.1 **Descrição** O problema refere-se a uma ferramenta que combina uma receita conda com configurações para build utilizando serviços de CI hospedados gratuitamente. Antes da versão 3.47.1, uma função no repositório cria arquivos com permissões excessivas, permitindo acesso não autorizado de leitura e escrita. Isso viola o princípio do menor privilégio e poderia ser explorado por um atacante para acessar arquivos de configuração em ambientes de hospedagem compartilhada. **Recomendações** Para versões anteriores à 3.47.1, atualize para a versão 3.47.1 para resolver o problema. Como solução temporária, considere restringir as permissões dos arquivos ao mínimo necessário para prevenir acesso não autorizado.