Jaimergp

**Nome do Software Vulnerável e Versões Afetadas** Versões do conda-smithy anteriores à 3.47.1 **Descrição** O problema resulta da utilização de um esquema de preenchimento obsoleto e inseguro durante a criptografia RSA na implementação do travis encrypt binstar token. Um ator malicioso com acesso a um sistema oráculo pode explorar essa falha submetendo iterativamente textos cifrados modificados e analisando as respostas para inferir o texto simples sem possuir a chave privada. **Recomendações** Para versões anteriores à 3.47.1, atualize para a versão 3.47.1 para resolver o problema. Como medida temporária de contorno, considere restringir o acesso à implementação do travis encrypt binstar token até que a atualização seja aplicada.

**Nome do Software Vulnerável e Versões Afetadas** Versões do Conda-build anteriores a 25.3.0 **Descrição** O problema refere-se a uma vulnerabilidade de injeção de dependência. O Conda-build lista o conda-index como uma dependência Python em seu arquivo pyproject.toml. Como o conda-index não está publicado no PyPI, um atacante poderia reivindicar esse namespace, carregar código malicioso e explorar comandos pip install injetando a dependência maliciosa. **Recomendações** Para versões anteriores a 25.3.0, atualize para a versão 25.3.0 para resolver o problema. Como solução temporária, considere usar a opção --no-deps para comandos pip install ao instalar o projeto a partir do repositório.