CVE-2025-49598

Nome do Software Vulnerável e Versões Afetadas Versões do conda-forge-ci-setup anteriores a 4.15.0

Descrição O script de configuração do conda-forge-ci-setup-feedstock é vulnerável devido ao uso inseguro da função eval ao analisar informações de versão de um arquivo meta.yaml com formato personalizado. Um atacante que controle o meta.yaml pode injetar código malicioso na atribuição de versão, que é executado durante o processamento do arquivo, levando à execução arbitrária de código. A exploração requer que um atacante modifique o arquivo de receita manipulando a variável RECIPE DIR e introduzindo um arquivo meta.yaml malicioso. Embora isso seja mais viável em pipelines de CI/CD, é incomum em ambientes típicos, reduzindo o risco geral.

Recomendações Para versões anteriores a 4.15.0, atualize para a versão 4.15.0 para corrigir a vulnerabilidade. Como medida de contorno temporária, considere restringir o acesso ao arquivo meta.yaml e à variável RECIPE DIR para minimizar o risco de exploração. Evite usar a função eval ao analisar informações de versão de arquivos com formato personalizado até que o problema seja resolvido.