CVE-2025-32784

See a problem?
Please try reporting it to the source first.

Source

https://nvd.nist.gov/vuln/detail/CVE-2025-32784

Import Source

https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-32784.json

JSON Data

https://api.osv.dev/v1/vulns/CVE-2025-32784

Aliases

GHSA-28cx-74fp-g2g2

Published

2025-04-15T22:15:28Z

Modified

2025-04-16T14:55:40.545197Z

Summary

[none]

Details

conda-forge-webservices is the web app deployed to run conda-forge admin commands and linting. In versions prior to 2025.4.10, a race condition vulnerability has been identified in the conda-forge-webservices component used within the shared build infrastructure. This vulnerability, categorized as a Time-of-Check to Time-of-Use (TOCTOU) issue, can be exploited to introduce unauthorized modifications to build artifacts stored in the cf-staging Anaconda channel. Exploitation may result in the unauthorized publication of malicious artifacts to the production conda-forge channel. The core vulnerability results from the absence of atomicity between the hash validation and the artifact copy operation. This gap allows an attacker, with access to the cf-staging token, to overwrite the validated artifact with a malicious version immediately after hash verification, but before the copy action is executed. As the cf-staging channel permits artifact overwrites, such an operation can be carried out using the anaconda upload --force command. This vulnerability is fixed in 2025.4.10.

References

Affected packages

Git / github.com/conda-forge/conda-forge-webservices

Affected ranges

Type: GIT
Repo: https://github.com/conda-forge/conda-forge-webservices
Events: Introduced

0 Unknown introduced commit / All previous commits are affected

Fixed

141ed27617068debd150956341551df3a5a3807d

Affected versions

2024.*

2024.10.0

2024.10.1

2024.10.10

2024.10.11

2024.10.12

2024.10.13

2024.10.14

2024.10.15

2024.10.16

2024.10.17

2024.10.18

2024.10.19

2024.10.2

2024.10.20

2024.10.21

2024.10.22

2024.10.23

2024.10.24

2024.10.25

2024.10.26

2024.10.27

2024.10.28

2024.10.29

2024.10.3

2024.10.30

2024.10.31

2024.10.32

2024.10.33

2024.10.34

2024.10.35

2024.10.36

2024.10.37

2024.10.38

2024.10.39

2024.10.4

2024.10.40

2024.10.41

2024.10.42

2024.10.43

2024.10.5

2024.10.6

2024.10.7

2024.10.8

2024.10.9

2024.11.0

2024.11.1

2024.11.10

2024.11.11

2024.11.12

2024.11.13

2024.11.14

2024.11.15

2024.11.16

2024.11.17

2024.11.18

2024.11.19

2024.11.2

2024.11.20

2024.11.21

2024.11.22

2024.11.23

2024.11.24

2024.11.25

2024.11.26

2024.11.27

2024.11.28

2024.11.29

2024.11.3

2024.11.30

2024.11.31

2024.11.32

2024.11.33

2024.11.34

2024.11.35

2024.11.36

2024.11.4

2024.11.5

2024.11.6

2024.11.7

2024.11.8

2024.11.9

2024.12.0

2024.12.1

2024.12.10

2024.12.11

2024.12.12

2024.12.13

2024.12.14

2024.12.15

2024.12.16

2024.12.17

2024.12.18

2024.12.19

2024.12.2

2024.12.20

2024.12.21

2024.12.22

2024.12.23

2024.12.3

2024.12.4

2024.12.5

2024.12.6

2024.12.7

2024.12.8

2024.12.9

2024.9.0

2024.9.1

2024.9.10

2024.9.11

2024.9.12

2024.9.13

2024.9.14

2024.9.15

2024.9.16

2024.9.17

2024.9.18

2024.9.19

2024.9.2

2024.9.20

2024.9.3

2024.9.4

2024.9.5

2024.9.6

2024.9.7

2024.9.8

2024.9.9

2025.*

2025.1.0

2025.1.1

2025.1.10

2025.1.11

2025.1.12

2025.1.13

2025.1.14

2025.1.15

2025.1.16

2025.1.17

2025.1.18

2025.1.19

2025.1.2

2025.1.20

2025.1.21

2025.1.22

2025.1.23

2025.1.24

2025.1.25

2025.1.26

2025.1.27

2025.1.28

2025.1.29

2025.1.3

2025.1.30

2025.1.31

2025.1.32

2025.1.33

2025.1.34

2025.1.35

2025.1.36

2025.1.37

2025.1.38

2025.1.39

2025.1.4

2025.1.40

2025.1.41

2025.1.42

2025.1.43

2025.1.5

2025.1.6

2025.1.7

2025.1.8

2025.1.9

2025.2.0

2025.2.1

2025.2.10

2025.2.11

2025.2.12

2025.2.13

2025.2.14

2025.2.15

2025.2.16

2025.2.17

2025.2.18

2025.2.19

2025.2.2

2025.2.20

2025.2.21

2025.2.22

2025.2.23

2025.2.3

2025.2.4

2025.2.5

2025.2.6

2025.2.7

2025.2.8

2025.2.9

2025.3.0

2025.3.1

2025.3.10

2025.3.11

2025.3.12

2025.3.13

2025.3.14

2025.3.15

2025.3.16

2025.3.17

2025.3.18

2025.3.19

2025.3.2

2025.3.20

2025.3.21

2025.3.22

2025.3.23

2025.3.24

2025.3.25

2025.3.26

2025.3.27

2025.3.28

2025.3.29

2025.3.3

2025.3.30

2025.3.31

2025.3.32

2025.3.33

2025.3.34

2025.3.35

2025.3.4

2025.3.5

2025.3.6

2025.3.7

2025.3.8

2025.3.9

2025.4.0

2025.4.1

2025.4.10

2025.4.11

2025.4.12

2025.4.13

2025.4.14

2025.4.15

2025.4.16

2025.4.17

2025.4.18

2025.4.19

2025.4.2

2025.4.20

2025.4.21

2025.4.22

2025.4.23

2025.4.24

2025.4.25

2025.4.26

2025.4.27

2025.4.28

2025.4.29

2025.4.3

2025.4.30

2025.4.31

2025.4.32

2025.4.33

2025.4.34

2025.4.35

2025.4.36

2025.4.37

2025.4.38

2025.4.39

2025.4.4

2025.4.5

2025.4.6

2025.4.7

2025.4.8

2025.4.9