PT-2025-25763 · Unknown · Conda-Smithy
H4Pp1N3Ss
·
Publicado
2025-06-17
·
Atualizado
2025-06-18
·
CVE-2025-49843
CVSS v4.0
2.7
Baixa
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:U/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Versões do conda-smithy anteriores à 3.47.1
Descrição
O problema refere-se a uma ferramenta que combina uma receita conda com configurações para build utilizando serviços de CI hospedados gratuitamente. Antes da versão 3.47.1, uma função no repositório cria arquivos com permissões excessivas, permitindo acesso não autorizado de leitura e escrita. Isso viola o princípio do menor privilégio e poderia ser explorado por um atacante para acessar arquivos de configuração em ambientes de hospedagem compartilhada.
Recomendações
Para versões anteriores à 3.47.1, atualize para a versão 3.47.1 para resolver o problema. Como solução temporária, considere restringir as permissões dos arquivos ao mínimo necessário para prevenir acesso não autorizado.
Exploit
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Conda-Smithy