CVE-2025-49842
- Source
- https://cve.org/CVERecord?id=CVE-2025-49842
- Import Source
- https://storage.googleapis.com/cve-osv-conversion/osv-output/CVE-2025-49842.json
- JSON Data
- https://api.osv.dev/v1/vulns/CVE-2025-49842
- Aliases
-
- GHSA-3cj6-wc22-wvpv
- Published
- 2025-06-17T14:02:37.266Z
- Modified
- 2026-04-02T12:51:50.451517Z
- Severity
-
- 1.0 (Low) CVSS_V4 - CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N/E:U CVSS Calculator
- Summary
- conda-forge-webservices Privilege Escalation Risk via Default Docker Root User
- Details
-
conda-forge-webservices is the web app deployed to run conda-forge admin commands and linting. Prior to version 2025.3.24, the condaforgewebservice Docker container executes commands without specifying a user. By default, Docker containers run as the root user, which increases the risk of privilege escalation and host compromise if a vulnerability is exploited. This issue has been patched in version 2025.3.24.
- Database specific
{ "osv_generated_from": "https://github.com/CVEProject/cvelistV5/tree/main/cves/2025/49xxx/CVE-2025-49842.json", "cna_assigner": "GitHub_M", "cwe_ids": [ "CWE-276" ] }- References
-
- https://github.com/CVEProject/cvelistV5/tree/main/cves/2025/49xxx/CVE-2025-49842.json
- https://github.com/conda-forge/conda-forge-webservices/security/advisories/GHSA-3cj6-wc22-wvpv
- https://nvd.nist.gov/vuln/detail/CVE-2025-49842
- https://github.com/conda-forge/conda-forge-webservices/commit/c28b67f833f32299cc47eef8ad226ca991db67ae
Affected packages
Git / github.com/conda-forge/conda-forge-webservices
Affected ranges
- Type
- GIT
- Repo
- https://github.com/conda-forge/conda-forge-webservices
- Events
-
Introduced0 Unknown introduced commit / All previous commits are affectedFixed
Affected versions
2024.*
2024.10.0
2024.10.1
2024.10.10
2024.10.11
2024.10.12
2024.10.13
2024.10.14
2024.10.15
2024.10.16
2024.10.17
2024.10.18
2024.10.19
2024.10.2
2024.10.20
2024.10.21
2024.10.22
2024.10.23
2024.10.24
2024.10.25
2024.10.26
2024.10.27
2024.10.28
2024.10.29
2024.10.3
2024.10.30
2024.10.31
2024.10.32
2024.10.33
2024.10.34
2024.10.35
2024.10.36
2024.10.37
2024.10.38
2024.10.39
2024.10.4
2024.10.40
2024.10.41
2024.10.42
2024.10.43
2024.10.5
2024.10.6
2024.10.7
2024.10.8
2024.10.9
2024.11.0
2024.11.1
2024.11.10
2024.11.11
2024.11.12
2024.11.13
2024.11.14
2024.11.15
2024.11.16
2024.11.17
2024.11.18
2024.11.19
2024.11.2
2024.11.20
2024.11.21
2024.11.22
2024.11.23
2024.11.24
2024.11.25
2024.11.26
2024.11.27
2024.11.28
2024.11.29
2024.11.3
2024.11.30
2024.11.31
2024.11.32
2024.11.33
2024.11.34
2024.11.35
2024.11.36
2024.11.4
2024.11.5
2024.11.6
2024.11.7
2024.11.8
2024.11.9
2024.12.0
2024.12.1
2024.12.10
2024.12.11
2024.12.12
2024.12.13
2024.12.14
2024.12.15
2024.12.16
2024.12.17
2024.12.18
2024.12.19
2024.12.2
2024.12.20
2024.12.21
2024.12.22
2024.12.23
2024.12.3
2024.12.4
2024.12.5
2024.12.6
2024.12.7
2024.12.8
2024.12.9
2024.9.0
2024.9.1
2024.9.10
2024.9.11
2024.9.12
2024.9.13
2024.9.14
2024.9.15
2024.9.16
2024.9.17
2024.9.18
2024.9.19
2024.9.2
2024.9.20
2024.9.3
2024.9.4
2024.9.5
2024.9.6
2024.9.7
2024.9.8
2024.9.9
2025.*
2025.1.0
2025.1.1
2025.1.10
2025.1.11
2025.1.12
2025.1.13
2025.1.14
2025.1.15
2025.1.16
2025.1.17
2025.1.18
2025.1.19
2025.1.2
2025.1.20
2025.1.21
2025.1.22
2025.1.23
2025.1.24
2025.1.25
2025.1.26
2025.1.27
2025.1.28
2025.1.29
2025.1.3
2025.1.30
2025.1.31
2025.1.32
2025.1.33
2025.1.34
2025.1.35
2025.1.36
2025.1.37
2025.1.38
2025.1.39
2025.1.4
2025.1.40
2025.1.41
2025.1.42
2025.1.43
2025.1.5
2025.1.6
2025.1.7
2025.1.8
2025.1.9
2025.2.0
2025.2.1
2025.2.10
2025.2.11
2025.2.12
2025.2.13
2025.2.14
2025.2.15
2025.2.16
2025.2.17
2025.2.18
2025.2.19
2025.2.2
2025.2.20
2025.2.21
2025.2.22
2025.2.23
2025.2.3
2025.2.4
2025.2.5
2025.2.6
2025.2.7
2025.2.8
2025.2.9
2025.3.0
2025.3.1
2025.3.10
2025.3.11
2025.3.12
2025.3.13
2025.3.14
2025.3.15
2025.3.16
2025.3.17
2025.3.18
2025.3.19
2025.3.2
2025.3.20
2025.3.21
2025.3.22
2025.3.23
2025.3.3
2025.3.4
2025.3.5
2025.3.6
2025.3.7
2025.3.8
2025.3.9