CVE-2025-49823

Nome do Software Vulnerável e Versões Afetadas Versões do Conda Constructor anteriores à 3.11.3

Descrição A questão envolve o Conda Constructor, uma ferramenta para criar instaladores para pacotes conda. Em versões anteriores à 3.11.3, os scripts do instalador shell processam o prefixo de instalação utilizando um comando eval, que executa entradas de usuário não sanitizadas como código shell. Isso permite que um atacante injete comandos arbitrários através de um caminho malicioso durante a instalação, embora isso requira uma ação explícita do usuário. O script é executado com privilégios de usuário, e não de root.

Recomendações Para versões anteriores à 3.11.3, atualize para a versão 3.11.3 para resolver a questão. Como medida paliativa temporária, considere evitar o uso dos scripts do instalador shell até que a atualização seja aplicada.