CVE-2025-32784

Nome do Software Vulnerável e Versões Afetadas Versões do conda-forge-webservices anteriores a 2025.4.10

Descrição Foi identificada uma vulnerabilidade do tipo Time-of-Check to Time-of-Use (TOCTOU) no componente conda-forge-webservices, a qual pode ser explorada para introduzir modificações não autorizadas em artefatos de build armazenados no canal Anaconda cf-staging. Isso pode resultar na publicação não autorizada de artefatos maliciosos no canal de produção conda-forge. O problema central deve-se à ausência de atomicidade entre a validação do hash e a operação de cópia do artefato, permitindo que um atacante com acesso ao token do cf-staging sobrescreva o artefato validado com uma versão maliciosa imediatamente após a verificação do hash, mas antes que a ação de cópia seja executada. Isso pode ser feito usando o comando anaconda upload --force.

Recomendações Para versões anteriores a 2025.4.10, atualize para a versão 2025.4.10 para corrigir a vulnerabilidade. Como medida de contorno temporária, considere restringir o acesso ao token do cf-staging e limitar o uso do comando anaconda upload --force para minimizar o risco de exploração.