Katalog CVE

CVE-2026-46699

WysokieCVSS 7.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 - wyżej niż 10% wszystkich znanych CVE

Streszczenie

W narzędziu conda-smithy, przed wersją 3.61.0, występowała podatność, która umożliwiała niezamierzony dostęp do repozytoriów feedstock poprzez przejęcie nazwy użytkownika GitHub. Problem wynikał z użycia zmiennych nazw użytkowników GitHub jako identyfikatorów do kierowania zaproszeniami do repozytoriów.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do swoich repozytoriów, co może prowadzić do nieautoryzowanych zmian w kodzie lub wycieku danych.

Rekomendacja

Zaleca się aktualizację narzędzia conda-smithy do wersji 3.61.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

conda-smithy is a tool for combining a conda recipe with configurations to build using freely hosted CI services into a single repository. Prior to version 3.61.0, a vulnerability in the conda-forge automated webservices allowed unintended write access to feedstock repositories through GitHub username takeover. The root cause is the use of mutable GitHub usernames as identifiers for repository invitation routing, rather than stable, immutable GitHub user IDs. Version 3.61.0 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS